Cisco har introduceret en stor ny udgivelse af sin gratis antiviruspakke, ClamAV 0.105.0, og har også udgivet korrigerende udgivelser af ClamAV 0.104.3 og 0.103.6, der løser sårbarheder og fejl. Lad os huske, at projektet gik i hænderne på Cisco i 2013 efter købet af Sourcefire, virksomheden, der udvikler ClamAV og Snort. Projektkoden distribueres under GPLv2-licensen.
Vigtigste forbedringer i ClamAV 0.105:
- En compiler til Rust-sproget er inkluderet i de påkrævede build-afhængigheder. Byg kræver mindst Rust 1.56. De nødvendige afhængighedsbiblioteker i Rust er inkluderet i ClamAV-hovedpakken.
- Koden til trinvis opdatering af databasearkivet (CDIFF) er blevet omskrevet i Rust. Den nye implementering har gjort det muligt markant at fremskynde anvendelsen af opdateringer, der fjerner et stort antal signaturer fra databasen. Dette er det første modul, der er omskrevet i Rust.
- Standardgrænseværdierne er blevet øget:
- MaxScanSize: 100M > 400M
- Maks filstørrelse: 25M > 100M
- StreamMaxLength: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- Max Embedded PE: 10M > 40M
- MaxHTML Normalize: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- Den maksimale linjestørrelse i konfigurationsfilerne freshclam.conf og clamd.conf er blevet øget fra 512 til 1024 tegn (når du angiver adgangstokens, kan DatabaseMirror-parameteren overstige 512 bytes).
- For at identificere billeder, der bruges til phishing eller malware-distribution, er der implementeret understøttelse af en ny type logiske signaturer, der bruger fuzzy hashing-metoden, som gør det muligt at identificere lignende objekter med en vis grad af sandsynlighed. For at generere en fuzzy hash til et billede kan du bruge kommandoen "sigtool —fuzzy-img".
- ClamScan og ClamDScan har indbyggede proceshukommelsesscanningsfunktioner. Denne funktion er blevet overført fra ClamWin-pakken og er specifik for Windows-platformen. Tilføjet "--memory", "--kill" og "--unload" muligheder til ClamScan og ClamDScan på Windows-platformen.
- Opdaterede runtime-komponenter til bytekode-udførelse baseret på LLVM. For at øge scanningsydeevnen sammenlignet med standardbytekodefortolkeren er en JIT-kompileringstilstand blevet foreslået. Support til ældre versioner af LLVM er afbrudt; LLVM version 8 til 12 kan nu bruges til arbejde.
- En GenerateMetadataJson-indstilling er blevet tilføjet til Clamd, som svarer til "--gen-json"-indstillingen i clamscan og forårsager, at metadata om scanningsforløbet bliver skrevet til metadata.json-filen i JSON-format.
- Forudsat muligheden for at bygge ved hjælp af det eksterne bibliotek TomsFastMath (libtfm), aktiveret ved hjælp af mulighederne "-D ENABLE_EXTERNAL_TOMSFASTMATH=ON", "-D TomsFastMath_INCLUDE_DIR=" og "-D TomsFastMath_LIBRARY=". Den medfølgende kopi af TomsFastMath-biblioteket er blevet opdateret til version 0.13.1.
- Freshclam-værktøjet har forbedret adfærd ved håndtering af ReceiveTimeout-timeout, som nu kun afslutter frosne downloads og ikke afbryder aktive langsomme downloads med data, der overføres via dårlige kommunikationskanaler.
- Tilføjet understøttelse til at bygge ClamdTop ved hjælp af ncursesw-biblioteket, hvis ncurses mangler.
- Sårbarheder rettet:
- CVE-2022-20803 er en dobbelt gratis i OLE2-filparseren.
- CVE-2022-20770 En uendelig løkke i CHM-filparseren.
- CVE-2022-20796 - Crash på grund af en NULL pointer-dereference i cache-kontrolkoden.
- CVE-2022-20771 – Uendelig sløjfe i TIFF-filparseren.
- CVE-2022-20785 - Hukommelseslækage i HTML-parseren og Javascript-normaliseringen.
- CVE-2022-20792 - Bufferoverløb i signaturdatabaseindlæsningsmodulet.
Kilde: opennet.ru