Cisco ha anunciado una nueva versión importante de su paquete antivirus gratuito, ClamAV 0.104.0. Recordemos que el proyecto pasó a manos de Cisco en 2013 tras la compra de Sourcefire, empresa desarrolladora de ClamAV y Snort. El código del proyecto se distribuye bajo la licencia GPLv2.
Al mismo tiempo, Cisco anunció el inicio de la formación de sucursales de ClamAV con soporte a largo plazo (LTS), cuyo soporte se brindará durante tres años a partir de la fecha de publicación del primer lanzamiento en la sucursal. La primera rama LTS será ClamAV 0.103, se lanzarán actualizaciones con vulnerabilidades y problemas críticos hasta 2023.
Las actualizaciones para las ramas regulares que no son LTS se publicarán durante al menos otros 4 meses después del primer lanzamiento de la siguiente rama (por ejemplo, las actualizaciones para la rama ClamAV 0.104.x se publicarán durante otros 4 meses después del lanzamiento de ClamAV 0.105.0). 4). La posibilidad de descargar la base de datos de firmas para sucursales que no sean LTS también se brindará durante al menos otros XNUMX meses después del lanzamiento de la siguiente sucursal.
Otro cambio significativo fue la formación de paquetes de instalación oficiales, lo que le permite actualizar sin reconstruir a partir de los textos fuente y sin esperar a que aparezcan los paquetes en las distribuciones. Los paquetes están preparados para Linux (en formatos RPM y DEB en versiones para arquitecturas x86_64 e i686), macOS (para x86_64 y ARM64, incluido soporte para el chip Apple M1) y Windows (x64 y win32). Además, ha comenzado la publicación de imágenes oficiales de contenedores en Docker Hub (las imágenes se ofrecen con y sin una base de datos de firmas incorporada). En el futuro, planeé publicar paquetes RPM y DEB para la arquitectura ARM64 y publicar ensamblajes para FreeBSD (x86_64).
Mejoras clave en ClamAV 0.104:
- Transición al uso del sistema de ensamblaje CMake, cuya presencia ahora es necesaria para construir ClamAV. Los sistemas de compilación Autotools y Visual Studio han sido descontinuados.
- Los componentes LLVM integrados en la distribución se han eliminado a favor del uso de bibliotecas LLVM externas existentes. En tiempo de ejecución, para procesar firmas con código de bytes incorporado, se utiliza de forma predeterminada un intérprete de código de bytes, que no tiene soporte JIT. Si necesita utilizar LLVM en lugar de un intérprete de código de bytes al compilar, debe especificar explícitamente las rutas a las bibliotecas LLVM 3.6.2 (se planea agregar soporte para versiones más recientes más adelante)
- Los procesos clamd y Freshclam ahora están disponibles como servicios de Windows. Para instalar estos servicios, se proporciona la opción “--install-service” y, para comenzar, puede utilizar el comando estándar “net start [nombre]”.
- Se ha agregado una nueva opción de escaneo que advierte sobre la transferencia de archivos gráficos dañados, a través de la cual se pueden realizar posibles intentos de explotar vulnerabilidades en las bibliotecas gráficas. La validación de formato se implementa para archivos JPEG, TIFF, PNG y GIF, y se habilita mediante la configuración AlertBrokenMedia en clamd.conf o la opción de línea de comando "--alert-broken-media" en clamscan.
- Se agregaron nuevos tipos CL_TYPE_TIFF y CL_TYPE_JPEG para mantener la coherencia con la definición de archivos GIF y PNG. Los tipos BMP y JPEG 2000 continúan definiéndose como CL_TYPE_GRAPHICS porque no admiten el análisis de formato.
- ClamScan ha agregado un indicador visual del progreso de la carga de firmas y la compilación del motor, que se realiza antes de que comience el escaneo. El indicador no se muestra cuando se inicia desde fuera del terminal o cuando se especifica una de las opciones “--debug”, “-quiet”, “-infected”, “-no-summary”.
- Para mostrar el progreso, libclamav ha agregado llamadas de devolución de llamada cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() y Engine free: cl_engine_set_clcb_engine_free_progress(), con las que las aplicaciones pueden rastrear y estimar el tiempo de ejecución de las etapas preliminares de carga y compilación de firmas.
- Se agregó soporte para la máscara de formato de cadena “%f” a la opción VirusEvent para sustituir la ruta al archivo en el que se detectó el virus (similar a la máscara “%v” con el nombre del virus detectado). En VirusEvent, una funcionalidad similar también está disponible a través de las variables de entorno $CLAM_VIRUSEVENT_FILENAME y $CLAM_VIRUSEVENT_VIRUSNAME.
- Rendimiento mejorado del módulo de descompresión del script AutoIt.
- Se agregó soporte para extraer imágenes de archivos *.xls (Excel OLE2).
- Es posible descargar hashes de Authenticode basados en el algoritmo SHA256 en forma de archivos *.cat (utilizados para verificar archivos ejecutables de Windows firmados digitalmente).
Fuente: opennet.ru