Efter seks måneders udvikling har Cisco offentliggjort udgivelsen af den gratis antiviruspakke ClamAV 1.3.0. Projektet gik i hænderne på Cisco i 2013 efter at have købt Sourcefire, virksomheden, der udvikler ClamAV og Snort. Projektkoden distribueres under GPLv2-licensen. 1.3.0-grenen er klassificeret som almindelig (ikke LTS), hvortil opdateringer udgives mindst 4 måneder efter den første udgivelse af den næste filial. Muligheden for at downloade signaturdatabasen for ikke-LTS filialer er også givet i mindst yderligere 4 måneder efter frigivelsen af den næste filial.
Vigtigste forbedringer i ClamAV 1.3:
- Tilføjet understøttelse til udpakning og kontrol af vedhæftede filer, der bruges i Microsoft OneNote-filer. OneNote-parsing er aktiveret som standard, men kan deaktiveres, hvis det ønskes ved at indstille "ScanOneNote no" i clamd.conf, angive kommandolinjeindstillingen "--scan-onenote=no", når du kører clamscan-værktøjet, eller tilføje flaget CL_SCAN_PARSE_ONENOTE til parameteren options.parse, når du bruger libclamav.
- Samling af ClamAV i det BeOS-lignende styresystem Haiku er etableret.
- Tilføjet check til clamd for eksistensen af mappen for midlertidige filer specificeret i clamd.conf filen via TemporaryDirectory direktivet. Hvis denne mappe mangler, afsluttes processen nu med en fejl.
- Når du opsætter opbygningen af statiske biblioteker i CMake, sikres installationen af de statiske biblioteker libclamav_rust, libclammspack, libclamunrar_iface og libclamunrar, der bruges i libclamav.
- Implementeret filtypedetektion for kompilerede Python-scripts (.pyc). Filtypen videregives i form af strengparameteren CL_TYPE_PYTHON_COMPILED, understøttet i funktionerne clcb_pre_cache, clcb_pre_scan og clcb_file_inspection.
- Forbedret understøttelse af dekryptering af PDF-dokumenter med en tom adgangskode.
Samtidig blev der genereret ClamAV 1.2.2 og 1.0.5 opdateringer, som rettede to sårbarheder, der påvirker grenene 0.104, 0.105, 1.0, 1.1 og 1.2:
- CVE-2024-20328 - Mulighed for kommandoerstatning under filscanning i clamd på grund af en fejl i implementeringen af "VirusEvent"-direktivet, bruges til at køre en vilkårlig kommando, hvis en virus detekteres. Detaljer om udnyttelsen af sårbarheden er endnu ikke blevet afsløret; alt hvad man ved er, at problemet blev løst ved at deaktivere understøttelse af VirusEvent-strengformateringsparameteren '%f', som blev erstattet med navnet på den inficerede fil.
Tilsyneladende går angrebet ned til at sende et specielt designet navn på en inficeret fil, der indeholder specialtegn, der ikke kan undslippes, når man kører kommandoen specificeret i VirusEvent. Det er bemærkelsesværdigt, at en lignende sårbarhed allerede blev rettet i 2004 og også ved at fjerne understøttelsen af '%f'-substitutionen, som derefter blev returneret i udgivelsen af ClamAV 0.104 og førte til genoplivningen af den gamle sårbarhed. I den gamle sårbarhed, for at udføre din kommando under en virusscanning, skulle du kun oprette en fil med navnet "; mkdir ejet" og skriv virustestsignaturen ind i den.
- CVE-2024-20290 er et bufferoverløb i OLE2-filparsing-koden, som kan bruges af en ekstern uautoriseret angriber til at forårsage et lammelsesangreb (nedbrud af scanningsprocessen). Problemet er forårsaget af forkert end-of-line-kontrol under indholdsscanning, hvilket resulterer i læsning fra et område uden for buffergrænsen.
Kilde: opennet.ru