Die Firma Cisco hat eine bedeutende neue Version des kostenlosen Antivirenpakets ClamAV 0.105.0 vorgestellt und auch korrigierte Releases von ClamAV 0.104.3 und 0.103.6 veröffentlicht, die Schwachstellen und Fehler beheben. Erinnern wir uns, dass das Projekt 2013 nach dem Kauf von Sourcefire, dem Entwickler von ClamAV und Snort, in die Hände von Cisco übergegangen ist. Der Code des Projekts wird unter der GPLv2-Lizenz verteilt.
Wesentliche Verbesserungen in ClamAV 0.105:
- Der Compiler für die Programmiersprache Rust wurde als zwingende Abhängigkeit für den Build hinzugefügt. Für den Build ist mindestens die Version Rust 1.56 erforderlich. Die notwendigen Rust-Bibliotheken sind in das Hauptpaket von ClamAV integriert.
- Der Code für das inkrementelle Aktualisieren der Datenbankarchive (CDIFF) wurde in Rust neu geschrieben. Die neue Implementierung hat die Anwendung von Updates, die eine große Anzahl von Signaturen aus der Datenbank entfernt, erheblich beschleunigt. Dies ist das erste Modul, das in Rust neu geschrieben wurde.
- Die standardmäßig festgelegten Grenzwerte wurden erhöht:
- MaxScanSize: 100M > 400M
- MaxFileSize: 25M > 100M
- StreamMaxLength: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalize: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- Die maximale Zeilenlänge in den Konfigurationsdateien freshclam.conf und clamd.conf wurde von 512 auf 1024 Zeichen erhöht (beim Angeben von Zugangstoken konnte der Parameter DatabaseMirror 512 Byte überschreiten).
- Zur Erkennung von Bildern, die für Phishing oder die Verbreitung von Malware verwendet werden, wurde die Unterstützung neuer logischer Signaturen implementiert, die eine Methode des unscharfen Hashings (fuzzy hashing) verwenden, um ähnliche Objekte mit einer bestimmten Wahrscheinlichkeit zu identifizieren. Zum Generieren eines unscharfen Hashs für ein Bild kann der Befehl «sigtool —fuzzy-img» verwendet werden.
- In ClamScan und ClamDScan wurde die Möglichkeit zur Speicheruntersuchung von Prozessen integriert. Diese Funktion wurde aus dem ClamWin-Paket übernommen und ist spezifisch für die Windows-Plattform. In ClamScan und ClamDScan auf Windows wurden die Optionen «—memory», «—kill» und «—unload» hinzugefügt.
- Die Runtime-Komponenten zur Ausführung von Bytecode, die auf LLVM basieren, wurden aktualisiert. Um die Scan-Leistung im Vergleich zum standardmäßig angebotenen Bytecode-Interpreter zu erhöhen, wurde ein JIT-Compilation-Modus vorgeschlagen. Die Unterstützung älterer LLVM-Versionen wurde eingestellt; es können jetzt Versionen von LLVM von 8 bis 12 verwendet werden.
- In Clamd wurde die Einstellung GenerateMetadataJson hinzugefügt, die der Option „—gen-json“ in clamscan entspricht und die dazu führt, dass Metadaten zum Scanverlauf im JSON-Format in die Datei metadata.json geschrieben werden.
- Die Möglichkeit zur Erstellung mit der externen Bibliothek TomsFastMath (libtfm) wurde bereitgestellt, die über die Optionen „-D ENABLE_EXTERNAL_TOMSFASTMATH=ON“, „-D TomsFastMath_INCLUDE_DIR=“ und „-D TomsFastMath_LIBRARY=“ eingebunden wird. Die im Lieferumfang enthaltene Version der TomsFastMath-Bibliothek wurde auf Version 0.13.1 aktualisiert.
- Das Verhalten des Freshclam-Tools wurde bei der Verarbeitung des ReceiveTimeout-Timouts verbessert, das jetzt nur hängende Downloads abbricht und aktive langsame Downloads über schlechte Verbindungen nicht unterbricht.
- Die Unterstützung für den ClamdTop-Build mit der ncursesw-Bibliothek wurde hinzugefügt, falls ncurses nicht vorhanden ist.
- Sicherheitsanfälligkeiten wurden behoben:
- CVE-2022-20803 — doppeltes Freigeben von Speicher im OLE2-Datei-Parser.
- CVE-2022-20770 — unendliche Schleife im CHM-Datei-Parser.
- CVE-2022-20796 — Absturz durch Dereferenzierung eines Nullzeigers im Cache-Prüfcode.
- CVE-2022-20771 — unendliche Schleife im TIFF-Datei-Parser.
- CVE-2022-20785 — Speicherleck im HTML-Parser und im Javascript-Normalisierer.
- CVE-2022-20792 — Pufferüberlauf im Modul zum Laden von Signaturdatenbanken.
Quelle: opennet.ru
