Nach sechsmonatiger Entwicklungszeit hat Cisco das kostenlose Antivirenpaket ClamAV 1.3.0 veröffentlicht. Das Projekt wurde 2013 von Cisco ĂŒbernommen, nachdem Sourcefire, der Entwickler von ClamAV und Snort, ĂŒbernommen worden war. Der Projektcode wird unter der GPLv2-Lizenz vertrieben. Der Zweig 1.3.0 ist als regulĂ€rer Zweig (nicht LTS) klassifiziert, dessen Updates mindestens vier Monate nach der ersten Veröffentlichung des nĂ€chsten Zweigs veröffentlicht werden. Die Signaturdatenbank fĂŒr Nicht-LTS-Zweige kann ebenfalls mindestens vier Monate nach der Veröffentlichung des nĂ€chsten Zweigs heruntergeladen werden.
Wichtigste Verbesserungen in ClamAV 1.3:
- UnterstĂŒtzung fĂŒr das Extrahieren und ĂberprĂŒfen von AnhĂ€ngen in Microsoft OneNote-Dateien hinzugefĂŒgt. Die Analyse des OneNote-Formats ist standardmĂ€Ăig aktiviert, kann aber optional deaktiviert werden, indem Sie âScanOneNote noâ in clamd.conf setzen, die Kommandozeilenoption â--scan-onenote=noâ beim AusfĂŒhren von clamscan angeben oder bei Verwendung von libclamav das Flag CL_SCAN_PARSE_ONENOTE in options.parse hinzufĂŒgen.
- Der ClamAV-Build wurde im BeOS-Ă€hnlichen Haiku-Betriebssystem etabliert.
- Clamd prĂŒft nun, ob ein temporĂ€res Verzeichnis existiert, das in der Datei clamd.conf ĂŒber die Direktive TemporaryDirectory angegeben ist. Ist dieses Verzeichnis nicht vorhanden, wird der Prozess mit einem Fehler beendet.
- Bei der Konfiguration der Assembly statischer Bibliotheken in CMake wird die Installation der in libclamav verwendeten statischen Bibliotheken libclamav_rust, libclammspack, libclamunrar_iface und libclamunrar sichergestellt.
- Dateityperkennung fĂŒr kompilierte Python-Skripte (.pyc) implementiert. Der Dateityp wird als String-Parameter CL_TYPE_PYTHON_COMPILED ĂŒbergeben und wird in den Funktionen clcb_pre_cache, clcb_pre_scan und clcb_file_inspection unterstĂŒtzt.
- Verbesserte UnterstĂŒtzung fĂŒr das EntschlĂŒsseln von PDF-Dokumenten mit leeren Passwörtern.
Gleichzeitig wurden die Updates ClamAV 1.2.2 und 1.0.5 veröffentlicht, die zwei Schwachstellen behoben, die die Zweige 0.104, 0.105, 1.0, 1.1 und 1.2 betrafen:
- CVE-2024-20328 â Möglichkeit der Befehlsersetzung wĂ€hrend der DateiprĂŒfung in clamd aufgrund eines Fehlers in der Implementierung der Direktive âVirusEventâ, die im Falle eines Virenfunds zur AusfĂŒhrung eines beliebigen Befehls verwendet wird. Die Details zur Ausnutzung der Schwachstelle sind noch nicht bekannt. Bekannt ist lediglich, dass das Problem behoben wurde, indem die UnterstĂŒtzung in VirusEvent fĂŒr den String-Formatierungsparameter â%fâ deaktiviert und durch den Namen der infizierten Datei ersetzt wurde.
Der Angriff besteht offenbar darin, einen speziell formatierten Namen einer infizierten Datei mit Sonderzeichen zu ĂŒbergeben, die bei der AusfĂŒhrung des in VirusEvent angegebenen Befehls nicht maskiert werden. Bemerkenswert ist, dass eine Ă€hnliche SicherheitslĂŒcke bereits 2004 behoben wurde, und zwar durch die Entfernung der UnterstĂŒtzung fĂŒr die Substitution â%fâ. Diese wurde dann in der Version ClamAV 0.104 wieder eingefĂŒhrt und fĂŒhrte zur Wiederbelebung der alten SicherheitslĂŒcke. Bei der alten SicherheitslĂŒcke genĂŒgte es zur AusfĂŒhrung eines Befehls wĂ€hrend eines Virenscans, eine Datei mit dem Namen â; mkdir ownedâ zu erstellen und eine Testvirensignatur darin zu speichern.
- CVE-2024-20290 â Ein PufferĂŒberlauf im Analysecode fĂŒr Dateien mit OLE2-Inhalten kann von einem nicht authentifizierten Remote-Angreifer ausgenutzt werden, um einen Denial-of-Service-Angriff (Absturz des Scan-Prozesses) auszulösen. Das Problem wird durch eine fehlerhafte ZeilenendeprĂŒfung wĂ€hrend des Inhaltsscans verursacht, die zu einem Lesen auĂerhalb der zulĂ€ssigen Grenzen fĂŒhrt.
Source: opennet.ru
