Η Cisco ανακοίνωσε μια σημαντική νέα έκδοση της δωρεάν σουίτας προστασίας από ιούς, ClamAV 0.104.0. Να θυμίσουμε ότι το έργο πέρασε στα χέρια της Cisco το 2013 μετά την αγορά της Sourcefire, της εταιρείας ανάπτυξης των ClamAV και Snort. Ο κώδικας του έργου διανέμεται με την άδεια GPLv2.
Παράλληλα, η Cisco ανακοίνωσε την έναρξη της δημιουργίας καταστημάτων μακροπρόθεσμης υποστήριξης (LTS) ClamAV, τα οποία θα υποστηρίζονται για τρία χρόνια από την ημερομηνία δημοσίευσης της πρώτης κυκλοφορίας στο υποκατάστημα. Το πρώτο υποκατάστημα LTS θα είναι το ClamAV 0.103, οι ενημερώσεις με τρωτά σημεία και κρίσιμα ζητήματα θα κυκλοφορήσουν μέχρι το 2023.
Οι ενημερώσεις για τα κανονικά υποκαταστήματα εκτός LTS θα δημοσιεύονται για τουλάχιστον άλλους 4 μήνες μετά την πρώτη κυκλοφορία του επόμενου κλάδου (για παράδειγμα, οι ενημερώσεις για τον κλάδο ClamAV 0.104.x θα δημοσιεύονται για άλλους 4 μήνες μετά την κυκλοφορία του ClamAV 0.105.0. 4). Η δυνατότητα λήψης της βάσης δεδομένων υπογραφών για υποκαταστήματα εκτός LTS θα παρέχεται επίσης για τουλάχιστον άλλους XNUMX μήνες μετά την κυκλοφορία του επόμενου κλάδου.
Μια άλλη σημαντική αλλαγή ήταν ο σχηματισμός επίσημων πακέτων εγκατάστασης, επιτρέποντάς σας να ενημερώνεστε χωρίς ανακατασκευή από κείμενα πηγής και χωρίς να περιμένετε να εμφανιστούν τα πακέτα στις διανομές. Τα πακέτα προετοιμάζονται για Linux (σε μορφές RPM και DEB σε εκδόσεις για αρχιτεκτονικές x86_64 και i686), macOS (για x86_64 και ARM64, συμπεριλαμβανομένης της υποστήριξης για το τσιπ Apple M1) και Windows (x64 και win32). Επιπλέον, έχει ξεκινήσει η δημοσίευση επίσημων εικόνων κοντέινερ στο Docker Hub (οι εικόνες προσφέρονται τόσο με όσο και χωρίς ενσωματωμένη βάση δεδομένων υπογραφών). Στο μέλλον, σχεδίαζα να δημοσιεύσω πακέτα RPM και DEB για την αρχιτεκτονική ARM64 και τις συναρμολογήσεις ανάρτησης για το FreeBSD (x86_64).
Βασικές βελτιώσεις στο ClamAV 0.104:
- Μετάβαση στη χρήση του συστήματος συναρμολόγησης CMake, η παρουσία του οποίου απαιτείται πλέον για την κατασκευή του ClamAV. Τα αυτόματα εργαλεία και τα συστήματα κατασκευής του Visual Studio έχουν διακοπεί.
- Τα στοιχεία LLVM που είναι ενσωματωμένα στη διανομή έχουν αφαιρεθεί υπέρ της χρήσης υπαρχουσών εξωτερικών βιβλιοθηκών LLVM. Στο χρόνο εκτέλεσης, για την επεξεργασία υπογραφών με ενσωματωμένο bytecode, χρησιμοποιείται από προεπιλογή ένας διερμηνέας bytecode, ο οποίος δεν διαθέτει υποστήριξη JIT. Εάν χρειάζεται να χρησιμοποιήσετε το LLVM αντί για έναν διερμηνέα bytecode κατά τη δημιουργία, πρέπει να καθορίσετε ρητά τις διαδρομές προς τις βιβλιοθήκες LLVM 3.6.2 (η υποστήριξη για νεότερες εκδόσεις σχεδιάζεται να προστεθεί αργότερα)
- Οι διεργασίες clamd και freshclam είναι πλέον διαθέσιμες ως υπηρεσίες Windows. Για να εγκαταστήσετε αυτές τις υπηρεσίες, παρέχεται η επιλογή «--install-service» και για να ξεκινήσετε μπορείτε να χρησιμοποιήσετε την τυπική εντολή «net start [name]».
- Προστέθηκε μια νέα επιλογή σάρωσης που προειδοποιεί για τη μεταφορά κατεστραμμένων αρχείων γραφικών, μέσω των οποίων μπορούν να γίνουν πιθανές προσπάθειες εκμετάλλευσης τρωτών σημείων σε βιβλιοθήκες γραφικών. Η επικύρωση μορφής υλοποιείται για αρχεία JPEG, TIFF, PNG και GIF και ενεργοποιείται μέσω της ρύθμισης AlertBrokenMedia στο clamd.conf ή της επιλογής γραμμής εντολών "--alert-broken-media" στο clamscan.
- Προστέθηκαν νέοι τύποι CL_TYPE_TIFF και CL_TYPE_JPEG για συνέπεια με τον ορισμό των αρχείων GIF και PNG. Οι τύποι BMP και JPEG 2000 εξακολουθούν να ορίζονται ως CL_TYPE_GRAPHICS επειδή η ανάλυση μορφών δεν υποστηρίζεται για αυτούς.
- Το ClamScan έχει προσθέσει μια οπτική ένδειξη της προόδου της φόρτωσης της υπογραφής και της συλλογής του κινητήρα, η οποία εκτελείται πριν από την έναρξη της σάρωσης. Η ένδειξη δεν εμφανίζεται όταν εκκινείται εκτός του τερματικού ή όταν έχει καθοριστεί μία από τις επιλογές "--debug", "-quiet", "-infected", "-no-summary".
- Για να εμφανιστεί η πρόοδος, το libclamav έχει προσθέσει κλήσεις επανάκλησης cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() και engine free: cl_engine_set_clcb_engine_free_progress(), με τις οποίες οι εφαρμογές μπορούν να παρακολουθούν και να εκτιμούν το στάδιο της υπογραφής της υπογραφής πριν από τη φόρτωση.
- Προστέθηκε υποστήριξη για τη μάσκα μορφοποίησης συμβολοσειράς "%f" στην επιλογή VirusEvent για να αντικαταστήσει τη διαδρομή προς το αρχείο στο οποίο εντοπίστηκε ο ιός (παρόμοια με τη μάσκα "%v" με το όνομα του ιού που εντοπίστηκε). Στο VirusEvent, παρόμοια λειτουργικότητα είναι επίσης διαθέσιμη μέσω των μεταβλητών περιβάλλοντος $CLAM_VIRUSEVENT_FILENAME και $CLAM_VIRUSEVENT_VIRUSNAME.
- Βελτιωμένη απόδοση της μονάδας αποσυσκευασίας σεναρίων AutoIt.
- Προστέθηκε υποστήριξη για εξαγωγή εικόνων από αρχεία *.xls (Excel OLE2).
- Είναι δυνατή η λήψη κατακερματισμών Authenticode με βάση τον αλγόριθμο SHA256 με τη μορφή αρχείων *.cat (χρησιμοποιούνται για την επαλήθευση των ψηφιακά υπογεγραμμένων εκτελέσιμων αρχείων των Windows).
Πηγή: opennet.ru