Cisco har annonceret en stor ny udgivelse af sin gratis antiviruspakke, ClamAV 0.104.0. Lad os huske, at projektet gik i hænderne på Cisco i 2013 efter købet af Sourcefire, virksomheden, der udvikler ClamAV og Snort. Projektkoden distribueres under GPLv2-licensen.
Samtidig annoncerede Cisco begyndelsen af dannelsen af ClamAV langtidsstøtte (LTS) filialer, som vil blive understøttet i tre år fra datoen for offentliggørelsen af den første udgivelse i filialen. Den første LTS-gren bliver ClamAV 0.103, opdateringer med sårbarheder og kritiske problemer vil blive frigivet indtil 2023.
Opdateringer for almindelige ikke-LTS-grene vil blive offentliggjort i mindst yderligere 4 måneder efter den første udgivelse af den næste filial (for eksempel vil opdateringer til ClamAV 0.104.x-grenen blive offentliggjort i yderligere 4 måneder efter udgivelsen af ClamAV 0.105.0. 4). Muligheden for at downloade signaturdatabasen for ikke-LTS filialer vil også være tilgængelig i mindst yderligere XNUMX måneder efter frigivelsen af den næste filial.
En anden væsentlig ændring var dannelsen af officielle installationspakker, så du kan opdatere uden at genopbygge fra kildetekster og uden at vente på, at pakker vises i distributioner. Pakkerne er forberedt til Linux (i RPM- og DEB-formater i versioner til x86_64- og i686-arkitekturer), macOS (til x86_64 og ARM64, inklusive understøttelse af Apple M1-chippen) og Windows (x64 og win32). Derudover er udgivelsen af officielle containerbilleder på Docker Hub begyndt (billeder tilbydes både med og uden en indbygget signaturdatabase). I fremtiden planlagde jeg at udgive RPM- og DEB-pakker til ARM64-arkitekturen og post-assemblies til FreeBSD (x86_64).
Vigtigste forbedringer i ClamAV 0.104:
- Overgang til at bruge CMake assembly-systemet, hvis tilstedeværelse nu er påkrævet for at bygge ClamAV. Autoværktøjer og Visual Studio byggesystemer er udgået.
- De indbyggede LLVM-komponenter i distributionen er blevet fjernet til fordel for at bruge eksisterende eksterne LLVM-biblioteker. I runtime, for at behandle signaturer med indbygget bytekode, bruges der som standard en bytekodefortolker, som ikke har JIT-understøttelse. Hvis du skal bruge LLVM i stedet for en bytekodefortolker, når du bygger, skal du udtrykkeligt angive stierne til LLVM 3.6.2-bibliotekerne (understøttelse af nyere udgivelser er planlagt til at blive tilføjet senere)
- Clamd- og freshclam-processerne er nu tilgængelige som Windows-tjenester. For at installere disse tjenester er muligheden "--install-service" til rådighed, og for at starte kan du bruge standardkommandoen "net start [navn]".
- Der er tilføjet en ny scanningsmulighed, der advarer om overførsel af beskadigede grafikfiler, hvorigennem potentielle forsøg kan gøres på at udnytte sårbarheder i grafiske biblioteker. Formatvalidering er implementeret for JPEG-, TIFF-, PNG- og GIF-filer og er aktiveret via indstillingen AlertBrokenMedia i clamd.conf eller kommandolinjeindstillingen "--alert-broken-media" i clamscan.
- Tilføjet nye typer CL_TYPE_TIFF og CL_TYPE_JPEG for overensstemmelse med definitionen af GIF- og PNG-filer. BMP- og JPEG 2000-typerne er fortsat defineret som CL_TYPE_GRAPHICS, fordi formatparsing ikke understøttes for dem.
- ClamScan har tilføjet en visuel indikator for forløbet af signaturindlæsning og motorkompilering, som udføres før scanningen begynder. Indikatoren vises ikke, når den startes uden for terminalen, eller når en af mulighederne "--debug", "-quiet", "-infected", "-no-summary" er angivet.
- For at vise fremskridt har libclamav tilføjet tilbagekaldskald cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() og engine free: cl_engine_set_clcb_engine_free_progress(), hvormed applikationer kan spore og estimere det indledende og estimerede indlæsnings- og signaturkompileringstidspunkt for indlæsnings- og signaturkompatibiliteten.
- Tilføjet understøttelse af strengformateringsmasken "%f" til VirusEvent-indstillingen for at erstatte stien til filen, hvori virussen blev detekteret (svarende til "%v"-masken med navnet på den detekterede virus). I VirusEvent er lignende funktionalitet også tilgængelig gennem miljøvariablerne $CLAM_VIRUSEVENT_FILENAME og $CLAM_VIRUSEVENT_VIRUSNAME.
- Forbedret ydeevne af AutoIt-scriptudpakningsmodulet.
- Tilføjet understøttelse for udtrækning af billeder fra *.xls-filer (Excel OLE2).
- Det er muligt at downloade Authenticode-hasher baseret på SHA256-algoritmen i form af *.cat-filer (bruges til at verificere digitalt signerede Windows-eksekverbare filer).
Kilde: opennet.ru