Cisco пусна безплатен антивирусен пакет ClamAV 0.105

Cisco представи голяма нова версия на своя безплатен антивирусен пакет, ClamAV 0.105.0, и също така публикува коригиращи версии на ClamAV 0.104.3 и 0.103.6, които поправят уязвимости и грешки. Да припомним, че проектът премина в ръцете на Cisco през 2013 г. след закупуването на Sourcefire, компанията, разработваща ClamAV и Snort. Кодът на проекта се разпространява под лиценз GPLv2.

Ключови подобрения в ClamAV 0.105:

• Компилатор за езика Rust е включен в необходимите зависимости за компилация. Изграждането изисква поне Rust 1.56. Необходимите библиотеки за зависимости в Rust са включени в основния пакет ClamAV.
• Кодът за постепенно обновяване на архива на базата данни (CDIFF) е пренаписан на Rust. Новата реализация направи възможно значително ускоряване на прилагането на актуализации, които премахват голям брой подписи от базата данни. Това е първият модул, пренаписан на Rust.
• Граничните стойности по подразбиране са увеличени:
  • Максимален размер на сканиране: 100M > 400M
  • Максимален размер на файл: 25M > 100M
  • StreamMaxLength: 25M > 100M
  • PCREMaxFileSize: 25M > 100M
  • Макс. вграден PE: 10M > 40M
  • MaxHTMLNormalize: 10M > 40M
  • MaxScriptNormalize: 5M > 20M
  • MaxHTMLNoTags: 2 милиона > 8 милиона
  • Максималният размер на реда в конфигурационните файлове freshclam.conf и clamd.conf е увеличен от 512 на 1024 знака (когато се посочват токени за достъп, параметърът DatabaseMirror може да надвишава 512 байта).
• За идентифициране на изображения, използвани за фишинг или разпространение на злонамерен софтуер, е внедрена поддръжка за нов тип логически подписи, които използват метода на размито хеширане, което позволява идентифициране на подобни обекти с определена степен на вероятност. За да генерирате размит хеш за изображение, можете да използвате командата „sigtool —fuzzy-img“.
• ClamScan и ClamDScan имат вградени възможности за сканиране на паметта на процеса. Тази функция е прехвърлена от пакета ClamWin и е специфична за платформата Windows. Добавени са опции "--memory", "--kill" и "--unload" към ClamScan и ClamDScan на платформата Windows.
• Актуализирани компоненти по време на изпълнение за изпълнение на байт код, базиран на LLVM. За да се увеличи производителността на сканиране в сравнение с интерпретатора на байт код по подразбиране, беше предложен JIT режим на компилиране. Поддръжката за по-стари версии на LLVM е преустановена; LLVM версии 8 до 12 вече могат да се използват за работа.
• Към Clamd е добавена настройка GenerateMetadataJson, която е еквивалентна на опцията „--gen-json“ в clamscan и кара метаданните за напредъка на сканирането да бъдат записани във файла metadata.json във формат JSON.
• Възможно е да се изгради с помощта на външната библиотека TomsFastMath (libtfm), активирана чрез опциите „-D ENABLE_EXTERNAL_TOMSFASTMATH=ON“, „-D TomsFastMath_INCLUDE_DIR= " и "-D TomsFastMath_LIBRARY= " Включеното копие на библиотеката TomsFastMath е актуализирано до версия 0.13.1.
• Помощната програма Freshclam има подобрено поведение при обработка на времето за изчакване на ReceiveTimeout, което сега прекратява само замразените изтегляния и не прекъсва активните бавни изтегляния с данни, прехвърлени през лоши комуникационни канали.
• Добавена е поддръжка за изграждане на ClamdTop с помощта на библиотеката ncursesw, ако ncurses липсва.
• Коригирани уязвимости:
  • CVE-2022-20803 е двойно безплатно в OLE2 файловия анализатор.
  • CVE-2022-20770 Безкраен цикъл в CHM файловия анализатор.
  • CVE-2022-20796 - Срив поради деименуване на указател NULL в кода за проверка на кеша.
  • CVE-2022-20771 – Безкраен цикъл в анализатора на TIFF файлове.
  • CVE-2022-20785 - Изтичане на памет в HTML анализатора и нормализатора на Javascript.
  • CVE-2022-20792 - Препълване на буфера в модула за зареждане на базата данни със сигнатури.

Източник: opennet.ru