Společnost Cisco oznámila hlavní novou verzi své bezplatné antivirové sady ClamAV 0.104.0. Připomeňme, že projekt přešel do rukou Cisco v roce 2013 po koupi Sourcefire, společnosti vyvíjející ClamAV a Snort. Kód projektu je distribuován pod licencí GPLv2.
Cisco zároveň oznámilo začátek formování poboček dlouhodobé podpory ClamAV (LTS), které budou podporovány po dobu tří let od data zveřejnění prvního vydání v pobočce. První větev LTS bude ClamAV 0.103, aktualizace s chybami zabezpečení a kritickými problémy budou vydávány do roku 2023.
Aktualizace pro běžné větve, které nejsou LTS, budou zveřejňovány minimálně další 4 měsíce po prvním vydání další větve (například aktualizace pro větev ClamAV 0.104.x budou publikovány ještě 4 měsíce po vydání ClamAV 0.105.0. 4). Možnost stažení databáze podpisů pro non-LTS pobočky bude rovněž poskytována minimálně další XNUMX měsíce po vydání další pobočky.
Další významnou změnou bylo vytvoření oficiálních instalačních balíčků, které vám umožní aktualizovat bez přestavby ze zdrojových textů a bez čekání, až se balíčky objeví v distribucích. Balíčky jsou připraveny pro Linux (ve formátech RPM a DEB ve verzích pro architektury x86_64 a i686), macOS (pro x86_64 a ARM64 včetně podpory čipu Apple M1) a Windows (x64 a win32). Kromě toho začalo publikování oficiálních obrázků kontejnerů na Docker Hub (obrázky jsou nabízeny s vestavěnou databází podpisů i bez ní). V budoucnu jsem plánoval publikovat balíčky RPM a DEB pro architekturu ARM64 a posílat sestavení pro FreeBSD (x86_64).
Klíčová vylepšení v ClamAV 0.104:
- Přechod na používání montážního systému CMake, jehož přítomnost je nyní pro stavbu ClamAV nutná. Autotools a sestavovací systémy Visual Studio byly ukončeny.
- Komponenty LLVM zabudované do distribuce byly odstraněny ve prospěch použití stávajících externích knihoven LLVM. Za běhu se pro zpracování podpisů s vestavěným bajtovým kódem standardně používá interpret bajtového kódu, který nemá podporu JIT. Pokud potřebujete při sestavování použít LLVM místo interpretru bajtového kódu, musíte explicitně zadat cesty ke knihovnám LLVM 3.6.2 (podpora pro novější verze se plánuje přidat později)
- Procesy clamd a freshclam jsou nyní dostupné jako služby Windows. Pro instalaci těchto služeb je k dispozici volba „--install-service“ a ke spuštění můžete použít standardní příkaz „net start [name]“.
- Byla přidána nová možnost skenování, která varuje před přenosem poškozených grafických souborů, jejímž prostřednictvím se lze případně pokusit zneužít zranitelnosti v grafických knihovnách. Ověření formátu je implementováno pro soubory JPEG, TIFF, PNG a GIF a je povoleno prostřednictvím nastavení AlertBrokenMedia v clamd.conf nebo možnosti příkazového řádku "--alert-broken-media" v clamscan.
- Přidány nové typy CL_TYPE_TIFF a CL_TYPE_JPEG pro konzistenci s definicí souborů GIF a PNG. Typy BMP a JPEG 2000 jsou nadále definovány jako CL_TYPE_GRAPHICS, protože u nich není podporována analýza formátu.
- ClamScan přidal vizuální indikátor průběhu načítání signatur a kompilace enginu, která se provádí před zahájením skenování. Indikátor se nezobrazuje při spuštění z vnějšku terminálu nebo když je zadána jedna z možností „--debug“, „-quiet“, „-infected“, „-no-summary“.
- Pro zobrazení průběhu přidal libclamav volání zpětného volání cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() a engine free: cl_engine_set_clcb_engine_free_progress(), pomocí kterých mohou aplikace sledovat a odhadovat dobu spuštění kompilace a předběžnou signaturu.
- Do volby VirusEvent byla přidána podpora pro masku formátování řetězce „%f“, která nahrazuje cestu k souboru, ve kterém byl virus detekován (podobně jako maska „%v“ jménem detekovaného viru). Ve VirusEvent je podobná funkce dostupná také prostřednictvím proměnných prostředí $CLAM_VIRUSEVENT_FILENAME a $CLAM_VIRUSEVENT_VIRUSNAME.
- Vylepšený výkon modulu pro rozbalení skriptů AutoIt.
- Přidána podpora pro extrahování obrázků ze souborů *.xls (Excel OLE2).
- Je možné stáhnout hashe Authenticode založené na algoritmu SHA256 ve formě souborů *.cat (používá se k ověření digitálně podepsaných spustitelných souborů Windows).
Zdroj: opennet.ru