Po šesti měsících vývoje společnost Cisco zveřejnila vydání bezplatné antivirové sady ClamAV 1.3.0. Projekt přešel do rukou společnosti Cisco v roce 2013 po zakoupení Sourcefire, společnosti vyvíjející ClamAV a Snort. Kód projektu je distribuován pod licencí GPLv2. Větev 1.3.0 je klasifikována jako běžná (nikoli LTS), jejíž aktualizace jsou publikovány nejméně 4 měsíce po prvním vydání další větve. Možnost stažení databáze podpisů pro non-LTS pobočky je také poskytována minimálně další 4 měsíce po vydání další pobočky.
Klíčová vylepšení v ClamAV 1.3:
- Přidána podpora pro extrahování a kontrolu příloh používaných v souborech Microsoft OneNote. Analýza OneNote je ve výchozím nastavení povolena, ale lze ji v případě potřeby zakázat nastavením "ScanOneNote no" v clamd.conf, zadáním volby příkazového řádku "--scan-onenote=no" při spuštění obslužného programu clamscan nebo přidáním příznaku CL_SCAN_PARSE_ONENOTE do parametr options.parse při použití libclamav.
- Bylo zavedeno sestavení ClamAV v operačním systému Haiku podobnému BeOS.
- Do clamd přidána kontrola existence adresáře pro dočasné soubory specifikovaného v souboru clamd.conf prostřednictvím direktivy TemporaryDirectory. Pokud tento adresář chybí, proces se nyní ukončí s chybou.
- Při nastavování sestavení statických knihoven v CMake je zajištěna instalace statických knihoven libclamav_rust, libclammspack, libclamunrar_iface a libclamunrar používaných v libclamav.
- Implementovaná detekce typu souboru pro kompilované skripty Pythonu (.pyc). Typ souboru je předán ve formě řetězcového parametru CL_TYPE_PYTHON_COMPILED, který je podporován ve funkcích clcb_pre_cache, clcb_pre_scan a clcb_file_inspection.
- Vylepšená podpora pro dešifrování dokumentů PDF pomocí prázdného hesla.
Současně byly vygenerovány aktualizace ClamAV 1.2.2 a 1.0.5, které opravily dvě zranitelnosti ovlivňující větve 0.104, 0.105, 1.0, 1.1 a 1.2:
- CVE-2024-20328 - Možnost záměny příkazů při skenování souborů v clamd kvůli chybě v implementaci direktivy "VirusEvent", která se používá ke spuštění libovolného příkazu, pokud je detekován virus. Podrobnosti o zneužití zranitelnosti zatím nebyly zveřejněny, ví se pouze to, že problém byl vyřešen vypnutím podpory parametru formátování řetězce '%f' ve VirusEvent, který byl nahrazen názvem infikovaného souboru.
Útok se zřejmě scvrkává na přenos speciálně navrženého názvu infikovaného souboru obsahujícího speciální znaky, které nelze uniknout při spuštění příkazu uvedeného v VirusEvent. Je pozoruhodné, že podobná zranitelnost byla opravena již v roce 2004 a také odstraněním podpory pro substituci '%f', která byla poté vrácena ve vydání ClamAV 0.104 a vedla k oživení staré zranitelnosti. Ve staré zranitelnosti bylo k provedení příkazu během antivirové kontroly nutné pouze vytvořit soubor s názvem „; mkdir owned" a zapište do něj podpis testu viru.
- CVE-2024-20290 je přetečení vyrovnávací paměti v kódu analýzy souboru OLE2, které by mohl vzdálený neověřený útočník použít k odmítnutí služby (selhání procesu skenování). Problém je způsoben nesprávnou kontrolou konce řádku během skenování obsahu, což má za následek čtení z oblasti mimo hranici vyrovnávací paměti.
Zdroj: opennet.ru