Η Cisco αποκάλυψε μια σημαντική νέα έκδοση της δωρεάν σουίτας προστασίας από ιούς, το ClamAV 0.105.0, και δημοσίευσε επίσης εκδόσεις συντήρησης των ClamAV 0.104.3 και 0.103.6 που διορθώνουν ευπάθειες και σφάλματα. Να θυμίσουμε ότι το έργο πέρασε στα χέρια της Cisco το 2013 μετά την αγορά της Sourcefire, της εταιρείας ανάπτυξης των ClamAV και Snort. Ο κώδικας του έργου διανέμεται με την άδεια GPLv2.
Βασικές βελτιώσεις στο ClamAV 0.105:
- Ένας μεταγλωττιστής για τη γλώσσα Rust περιλαμβάνεται στις απαιτούμενες εξαρτήσεις κατασκευής. Η κατασκευή απαιτεί τουλάχιστον Rust 1.56. Οι απαραίτητες βιβλιοθήκες εξαρτήσεων στο Rust περιλαμβάνονται στο κύριο πακέτο ClamAV.
- Ο κώδικας για σταδιακή ενημέρωση του αρχείου της βάσης δεδομένων (CDIFF) έχει ξαναγραφεί στο Rust. Η νέα εφαρμογή κατέστησε δυνατή τη σημαντική επιτάχυνση της εφαρμογής ενημερώσεων που αφαιρούν μεγάλο αριθμό υπογραφών από τη βάση δεδομένων. Αυτή είναι η πρώτη ενότητα που ξαναγράφεται στο Rust.
- Οι προεπιλεγμένες οριακές τιμές έχουν αυξηθεί:
- MaxScanSize: 100M > 400M
- MaxFileSize: 25M > 100M
- Μέγιστο μήκος ροής: 25M > 100M
- Μέγεθος αρχείου PCREMax: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalize: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- Το μέγιστο μέγεθος γραμμής στα αρχεία διαμόρφωσης freshclam.conf και clamd.conf έχει αυξηθεί από 512 σε 1024 χαρακτήρες (όταν καθορίζονται διακριτικά πρόσβασης, η παράμετρος DatabaseMirror μπορεί να υπερβαίνει τα 512 byte).
- Για τον εντοπισμό εικόνων που χρησιμοποιούνται για διανομή ηλεκτρονικού ψαρέματος ή κακόβουλου λογισμικού, έχει εφαρμοστεί υποστήριξη για έναν νέο τύπο λογικών υπογραφών που χρησιμοποιούν τη μέθοδο ασαφούς κατακερματισμού, η οποία επιτρέπει την αναγνώριση παρόμοιων αντικειμένων με έναν ορισμένο βαθμό πιθανότητας. Για να δημιουργήσετε ένα ασαφές κατακερματισμό για μια εικόνα, μπορείτε να χρησιμοποιήσετε την εντολή "sigtool —fuzzy-img".
- Το ClamScan και το ClamDScan διαθέτουν ενσωματωμένες δυνατότητες σάρωσης μνήμης διεργασιών. Αυτή η δυνατότητα έχει μεταφερθεί από το πακέτο ClamWin και είναι συγκεκριμένη για την πλατφόρμα των Windows. Προστέθηκαν οι επιλογές "--memory", "--kill" και "--unload" στο ClamScan και στο ClamDScan στην πλατφόρμα των Windows.
- Ενημερωμένα στοιχεία χρόνου εκτέλεσης για την εκτέλεση bytecode με βάση το LLVM. Για να αυξηθεί η απόδοση σάρωσης σε σύγκριση με τον προεπιλεγμένο διερμηνέα bytecode, έχει προταθεί μια λειτουργία μεταγλώττισης JIT. Η υποστήριξη για παλαιότερες εκδόσεις του LLVM έχει διακοπεί· οι εκδόσεις LLVM 8 έως 12 μπορούν πλέον να χρησιμοποιηθούν για εργασία.
- Μια ρύθμιση GenerateMetadataJson έχει προστεθεί στο Clamd, η οποία είναι ισοδύναμη με την επιλογή "--gen-json" στο clamscan και προκαλεί την εγγραφή μεταδεδομένων σχετικά με την πρόοδο σάρωσης στο αρχείο metadata.json σε μορφή JSON.
- Παρέχει τη δυνατότητα δημιουργίας με χρήση της εξωτερικής βιβλιοθήκης TomsFastMath (libtfm), ενεργοποιημένη χρησιμοποιώντας τις επιλογές "-D ENABLE_EXTERNAL_TOMSFASTMATH=ON", "-D TomsFastMath_INCLUDE_DIR=" και "-D TomsFastMath_LIBRARY=". Το συμπεριλαμβανόμενο αντίγραφο της βιβλιοθήκης TomsFastMath έχει ενημερωθεί στην έκδοση 0.13.1.
- Το βοηθητικό πρόγραμμα Freshclam έχει βελτιωμένη συμπεριφορά κατά το χειρισμό του χρονικού ορίου λήξης ReceiveTimeout, το οποίο πλέον τερματίζει μόνο τις παγωμένες λήψεις και δεν διακόπτει τις ενεργές αργές λήψεις με δεδομένα που μεταφέρονται μέσω κακών καναλιών επικοινωνίας.
- Προστέθηκε υποστήριξη για τη δημιουργία ClamdTop χρησιμοποιώντας τη βιβλιοθήκη ncursesw εάν λείπουν ncurses.
- Διορθώθηκαν ευπάθειες:
- Το CVE-2022-20803 είναι ένα διπλό δωρεάν στον αναλυτή αρχείων OLE2.
- CVE-2022-20770 Ένας άπειρος βρόχος στον αναλυτή αρχείων CHM.
- CVE-2022-20796 - Σφάλμα λόγω μη αναφοράς δείκτη NULL στον κωδικό ελέγχου της προσωρινής μνήμης.
- CVE-2022-20771 Ένας άπειρος βρόχος στον αναλυτή αρχείων TIFF.
- CVE-2022-20785 - Διαρροή μνήμης στον αναλυτή HTML και τον κανονικοποιητή Javascript.
- CVE-2022-20792 - Υπερχείλιση buffer στη μονάδα φόρτωσης βάσης δεδομένων υπογραφής.
Πηγή: opennet.ru