Cisco обяви голяма нова версия на своя безплатен антивирусен пакет, ClamAV 0.104.0. Да припомним, че проектът премина в ръцете на Cisco през 2013 г. след закупуването на Sourcefire, компанията, разработваща ClamAV и Snort. Кодът на проекта се разпространява под лиценз GPLv2.
В същото време Cisco обяви началото на формирането на клонове за дългосрочна поддръжка на ClamAV (LTS), които ще се поддържат в продължение на три години от датата на публикуване на първото издание в клона. Първият LTS клон ще бъде ClamAV 0.103, актуализации с уязвимости и критични проблеми ще бъдат пуснати до 2023 г.
Актуализациите за обикновени клонове, които не са LTS, ще бъдат публикувани поне още 4 месеца след първото издание на следващия клон (например актуализациите за клона ClamAV 0.104.x ще бъдат публикувани още 4 месеца след пускането на ClamAV 0.105.0. 4). Възможността за изтегляне на базата данни със сигнатури за клонове, които не са LTS, също ще бъде предоставена поне още XNUMX месеца след пускането на следващия клон.
Друга значителна промяна беше формирането на официални инсталационни пакети, които ви позволяват да актуализирате без повторно изграждане от изходните текстове и без да чакате пакетите да се появят в дистрибуции. Пакетите са подготвени за Linux (в RPM и DEB формати във версии за x86_64 и i686 архитектури), macOS (за x86_64 и ARM64, включително поддръжка за Apple M1 чип) и Windows (x64 и win32). Освен това започна публикуването на официални изображения на контейнери в Docker Hub (изображенията се предлагат както със, така и без вградена база данни със сигнатури). В бъдеще планирах да публикувам RPM и DEB пакети за архитектурата ARM64 и пост асембли за FreeBSD (x86_64).
Ключови подобрения в ClamAV 0.104:
- Преход към използване на системата за сглобяване на CMake, чието присъствие вече е необходимо за изграждане на ClamAV. Системите за изграждане на Autotools и Visual Studio са преустановени.
- Компонентите на LLVM, вградени в дистрибуцията, са премахнати в полза на използването на съществуващи външни LLVM библиотеки. По време на изпълнение, за обработка на подписи с вграден байткод, по подразбиране се използва интерпретатор на байткод, който няма JIT поддръжка. Ако трябва да използвате LLVM вместо интерпретатор на байт код при изграждане, трябва изрично да посочите пътищата до библиотеките LLVM 3.6.2 (поддръжката за по-нови версии се планира да бъде добавена по-късно)
- Процесите clamd и freshclam вече са достъпни като услуги на Windows. За да инсталирате тези услуги, е предоставена опцията „--install-service“, а за стартиране можете да използвате стандартната команда „net start [name]“.
- Добавена е нова опция за сканиране, която предупреждава за прехвърляне на повредени графични файлове, чрез които могат да се правят потенциални опити за използване на уязвимости в графичните библиотеки. Проверката на формата е внедрена за JPEG, TIFF, PNG и GIF файлове и е активирана чрез настройката AlertBrokenMedia в clamd.conf или опцията на командния ред „--alert-broken-media“ в clamscan.
- Добавени са нови типове CL_TYPE_TIFF и CL_TYPE_JPEG за съгласуваност с дефиницията на GIF и PNG файлове. Типовете BMP и JPEG 2000 продължават да се дефинират като CL_TYPE_GRAPHICS, тъй като анализът на формата не се поддържа за тях.
- ClamScan добави визуален индикатор за напредъка на зареждането на сигнатурата и компилирането на двигателя, което се извършва преди започване на сканирането. Индикаторът не се показва, когато се стартира извън терминала или когато е зададена една от опциите „--debug“, „-quiet“, „-infected“, „-no-summary“.
- За да покаже напредъка, libclamav добави извиквания за обратно извикване cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() и без двигател: cl_engine_set_clcb_engine_free_progress(), с които приложенията могат да проследяват и оценяват времето за изпълнение на предварителните етапи на зареждане и компилация на подпис.
- Добавена е поддръжка за маската за форматиране на низ „%f“ към опцията VirusEvent за заместване на пътя до файла, в който е открит вирусът (подобно на маската „%v“ с името на открития вирус). Във VirusEvent подобна функционалност е достъпна и чрез променливите на средата $CLAM_VIRUSEVENT_FILENAME и $CLAM_VIRUSEVENT_VIRUSNAME.
- Подобрена производителност на модула за разопаковане на скрипт AutoIt.
- Добавена е поддръжка за извличане на изображения от *.xls файлове (Excel OLE2).
- Възможно е да се изтеглят хешове на Authenticode, базирани на алгоритъма SHA256 под формата на *.cat файлове (използвани за проверка на цифрово подписани изпълними файлове на Windows).
Източник: opennet.ru