Компания Cisco выпустила свободный антивирусный пакет ClamAV 0.105

Компания Cisco представила новый значительный выпуск свободного антивирусного пакета ClamAV 0.105.0, а также опубликовала корректирующие выпуски ClamAV 0.104.3 и 0.103.6 с исправлением уязвимостей и ошибок. Напомним, что проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2.

Ключевые улучшения в ClamAV 0.105:

• В число обязательных для сборки зависимостей включён компилятор для языка Rust. Для сборки требуется как минимум версия Rust 1.56. Необходимые библиотеки-зависимости на языке Rust включены в основной состав пакета ClamAV.
• Переписан на языке Rust код для инкрементального обновления архива БД (CDIFF). Новая реализация позволила значительно ускорить применение обновлений, удаляющих большое число сигнатур из базы. Это первый модуль, переписанный на Rust.
• Увеличены установленные по умолчанию значения лимитов:
  • MaxScanSize: 100M > 400M
  • MaxFileSize: 25M > 100M
  • StreamMaxLength: 25M > 100M
  • PCREMaxFileSize: 25M > 100M
  • MaxEmbeddedPE: 10M > 40M
  • MaxHTMLNormalize: 10M > 40M
  • MaxScriptNormalize: 5M > 20M
  • MaxHTMLNoTags: 2M > 8M
  • Максимальный размер строки в файлах конфигурации freshclam.conf и clamd.conf повышен с 512 до 1024 символов (при указании токенов доступа параметр DatabaseMirror мог превышать 512 байт).
• Для определения изображений, используемых для фишинга или при распространении вредоносного ПО, реализована поддержка нового вида логических сигнатур, в которых используется метод нечёткого хэширования (fuzzy hashing), позволяющий выявлять похожие объекты с определённой степенью вероятности. Для генерации нечёткого хэша для изображения можно использовать команду «sigtool —fuzzy-img».
• В ClamScan и ClamDScan встроена возможность сканирования памяти процессов. Данная возможность перенесена из пакета ClamWin и специфична для платформы Windows. В ClamScan и ClamDScan на платформе Windows добавлены опции «—memory», «—kill» и «—unload».
• Обновлены runtime-компоненты для выполнения байткода, основанные на LLVM. Для увеличения производительности сканирования по сравнению с предлагаемым по умолчанию интерпретатором байткода предложен режим JIT-компиляции. Прекращена поддержка старых версий LLVM, для работы теперь можно использовать версии LLVM c 8 по 12.
• В Clamd добавлена настройка GenerateMetadataJson, эквивалентная опции «—gen-json» в clamscan и приводящая к записи в файл metadata.json метаданных о ходе сканирования в формате JSON.
• Предоставлена возможность сборки с использованием внешней библиотеки TomsFastMath (libtfm), включаемой при помощи опций «-D ENABLE_EXTERNAL_TOMSFASTMATH=ON», «-D TomsFastMath_INCLUDE_DIR=<path>» и «-D TomsFastMath_LIBRARY=<path>». Входящая в поставку копия библиотеки TomsFastMath обновлена до версии 0.13.1.
• В утилите Freshclam улучшено поведение при обработке таймаута ReceiveTimeout, который теперь обрывает только зависшие загрузки и не прерывает активные медленные загрузки с передачей данных по плохим каналам связи.
• Добавлена поддержка сборки ClamdTop с использованием библиотеки ncursesw в случае отсутствия ncurses.
• Устранены уязвимости:
  • CVE-2022-20803 — двойное освобождение памяти в парсере файлов OLE2.
  • CVE-2022-20770 — бесконечное зацикливание в парсере файлов CHM.
  • CVE-2022-20796 — аварийное завершение из-за разыменования нулевого указателя в коде проверки кэша.
  • CVE-2022-20771 — бесконечное зацикливание в парсере файлов TIFF.
  • CVE-2022-20785 — утечка памяти в парсере HTML и нормализаторе Javascript.
  • CVE-2022-20792 — переполнение буфера в модуле загрузки базы сигнатур.

Источник: opennet.ru