Společnost Cisco představila hlavní novou verzi své bezplatné antivirové sady ClamAV 0.105.0 a také zveřejnila opravná vydání ClamAV 0.104.3 a 0.103.6, která opravují zranitelnosti a chyby. Připomeňme, že projekt přešel do rukou Cisco v roce 2013 po koupi Sourcefire, společnosti vyvíjející ClamAV a Snort. Kód projektu je distribuován pod licencí GPLv2.
Klíčová vylepšení v ClamAV 0.105:
- Kompilátor pro jazyk Rust je součástí požadovaných závislostí sestavení. Sestavení vyžaduje alespoň Rust 1.56. Potřebné knihovny závislostí v Rustu jsou součástí hlavního balíčku ClamAV.
- Kód pro inkrementální aktualizaci databázového archivu (CDIFF) byl přepsán v Rustu. Nová implementace umožnila výrazně zrychlit aplikaci aktualizací, které z databáze odstraní velké množství podpisů. Toto je první modul přepsaný v Rustu.
- Výchozí limitní hodnoty byly zvýšeny:
- MaxScanSize: 100M > 400M
- MaxFileSize: 25M > 100M
- Maximální délka toku: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalize: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2 mil. > 8 mil
- Maximální velikost řádku v konfiguračních souborech freshclam.conf a clamd.conf byla zvýšena z 512 na 1024 znaků (při zadávání přístupových tokenů může parametr DatabaseMirror překročit 512 bajtů).
- Pro identifikaci obrázků používaných pro phishing nebo distribuci malwaru byla implementována podpora pro nový typ logických podpisů, které využívají metodu fuzzy hash, která umožňuje identifikovat podobné objekty s určitou mírou pravděpodobnosti. Chcete-li vygenerovat fuzzy hash pro obrázek, můžete použít příkaz „sigtool —fuzzy-img“.
- ClamScan a ClamDScan mají vestavěné možnosti skenování paměti procesu. Tato funkce byla přenesena z balíčku ClamWin a je specifická pro platformu Windows. Přidány možnosti "--memory", "--kill" a "--unload" do ClamScan a ClamDScan na platformě Windows.
- Aktualizované runtime komponenty pro spouštění bajtkódu založeného na LLVM. Pro zvýšení výkonu skenování ve srovnání s výchozím interpretem bytecode byl navržen režim kompilace JIT. Podpora starších verzí LLVM byla ukončena, pro práci lze nyní používat LLVM verze 8 až 12.
- Do Clamd bylo přidáno nastavení GenerateMetadataJson, které je ekvivalentní volbě „--gen-json“ v clamscan a způsobuje, že se metadata o průběhu skenování zapisují do souboru metadata.json ve formátu JSON.
- Je možné sestavit pomocí externí knihovny TomsFastMath (libtfm), která je povolena pomocí voleb „-D ENABLE_EXTERNAL_TOMSFASTMATH=ON“, „-D TomsFastMath_INCLUDE_DIR= " a "-D TomsFastMath_LIBRARY= " Přiložená kopie knihovny TomsFastMath byla aktualizována na verzi 0.13.1.
- Obslužný program Freshclam zlepšil chování při zpracování časového limitu ReceiveTimeout, který nyní pouze ukončuje zmrazené stahování a nepřerušuje aktivní pomalé stahování dat přenášenými přes špatné komunikační kanály.
- Přidána podpora pro sestavení ClamdTop pomocí knihovny ncursesw, pokud ncurses chybí.
- Opravené chyby zabezpečení:
- CVE-2022-20803 je dvojitý volný v analyzátoru souborů OLE2.
- CVE-2022-20770 Nekonečná smyčka v analyzátoru souborů CHM.
- CVE-2022-20796 – Selhání z důvodu dereference ukazatele NULL v kódu kontroly mezipaměti.
- CVE-2022-20771 – Nekonečná smyčka v analyzátoru souborů TIFF.
- CVE-2022-20785 – Únik paměti v analyzátoru HTML a normalizátoru JavaScriptu.
- CVE-2022-20792 - Přetečení vyrovnávací paměti v modulu načítání databáze signatur.
Zdroj: opennet.ru