Cisco hat eine große neue Version des kostenlosen Antivirenpakets ClamAV 1.0.0 vorgestellt. Der neue Zweig zeichnet sich durch den Übergang zur traditionellen Release-Nummerierung „Major.Minor.Patch“ (anstelle von 0.Version.Patch) aus. Die bedeutende Versionsänderung ist auch auf Änderungen an der libclamav-Bibliothek zurückzuführen, die die ABI-Kompatibilität beeinträchtigen, indem sie den Namespace CLAMAV_PUBLIC entfernen, den Typ der Argumente in der Funktion cl_strerror ändern und Symbole für die Rust-Sprache in den Namespace aufnehmen. Das Projekt ging 2013 nach dem Kauf von Sourcefire, das ClamAV und Snort entwickelt, in die Hände von Cisco über. Der Projektcode wird unter der GPLv2-Lizenz vertrieben.
Der 1.0.0-Zweig ist als Long Term Support (LTS) kategorisiert und wird drei Jahre lang gepflegt. Die Veröffentlichung von ClamAV 1.0.0 wird den vorherigen LTS-Zweig von ClamAV 0.103 ersetzen, für den bis September 2023 Updates mit Korrekturen für Schwachstellen und kritische Probleme veröffentlicht werden. Updates für reguläre Nicht-LTS-Zweige werden mindestens 4 Monate nach der ersten Veröffentlichung des nächsten Zweigs veröffentlicht. Die Möglichkeit, die Signaturdatenbank für Nicht-LTS-Zweigstellen herunterzuladen, wird außerdem für mindestens weitere 4 Monate nach der Veröffentlichung des nächsten Zweigs bereitgestellt.
Wichtigste Verbesserungen in ClamAV 1.0:
- Unterstützung für die Entschlüsselung schreibgeschützter OLE2-basierter XLS-Dateien, die mit einem Standardkennwort verschlüsselt sind, hinzugefügt.
- Der Code wurde mit der Implementierung des All-Match-Modus neu geschrieben, bei dem alle Übereinstimmungen in der Datei ermittelt werden, d. h. Der Scanvorgang wird nach dem ersten Treffer fortgesetzt. Der neue Code gilt als zuverlässiger und einfacher zu warten. Die neue Implementierung beseitigt außerdem eine Reihe konzeptioneller Mängel, die bei der Prüfung gegen Signaturen im All-Match-Modus auftreten. Tests hinzugefügt, um die Richtigkeit des All-Match-Verhaltens zu überprüfen.
- Der Callback-Aufruf clcb_file_inspection() wurde zur API hinzugefügt, um Handler zu verbinden, die den Inhalt von Dateien überprüfen, einschließlich der aus Archiven extrahierten Dateien.
- Zum Entpacken von Signaturarchiven im CVD-Format wurde der API die Funktion cl_cvdunpack() hinzugefügt.
- Skripte zum Erstellen von Docker-Images mit ClamAV wurden in ein separates clamav-docker-Repository verschoben. Das Docker-Image enthält Header-Dateien für die C-Bibliothek.
- Überprüfungen hinzugefügt, um den Grad der Rekursion beim Extrahieren von Objekten aus PDF-Dokumenten zu begrenzen.
- Der Grenzwert für die Menge des zugewiesenen Speichers bei der Verarbeitung nicht vertrauenswürdiger Eingabedaten wurde erhöht und es wird eine Warnung ausgegeben, wenn dieser Grenzwert überschritten wird.
- Die Zusammenstellung von Unit-Tests für die libclamav-Rust-Bibliothek wurde erheblich beschleunigt. In Rust geschriebene ClamAV-Module werden jetzt in einem mit ClamAV geteilten Verzeichnis erstellt.
- Die Einschränkungen bei der Prüfung auf überlappende Datensätze in ZIP-Dateien wurden gelockert, wodurch falsche Warnungen bei der Verarbeitung leicht veränderter, aber nicht bösartiger JAR-Archive vermieden werden konnten.
- Der Build definiert die minimal und maximal unterstützten Versionen von LLVM. Der Versuch, mit einer zu alten oder zu neuen Version zu erstellen, führt jetzt zu einer Fehlermeldung über Kompatibilitätsprobleme.
- Das Erstellen mit einer eigenen RPATH-Liste (Liste der Verzeichnisse, aus denen gemeinsam genutzte Bibliotheken geladen werden) ist zulässig, wodurch ausführbare Dateien nach dem Erstellen in der Entwicklungsumgebung an einen anderen Speicherort verschoben werden können.
Source: opennet.ru