Cisco ha presentado una nueva versión importante de su paquete antivirus gratuito, ClamAV 0.105.0, y también publicó versiones correctivas de ClamAV 0.104.3 y 0.103.6 que corrigen vulnerabilidades y errores. Recordemos que el proyecto pasó a manos de Cisco en 2013 tras la compra de Sourcefire, empresa desarrolladora de ClamAV y Snort. El código del proyecto se distribuye bajo la licencia GPLv2.
Mejoras clave en ClamAV 0.105:
- Se incluye un compilador para el lenguaje Rust en las dependencias de compilación requeridas. La compilación requiere al menos Rust 1.56. Las bibliotecas de dependencia necesarias en Rust están incluidas en el paquete principal de ClamAV.
- El código para la actualización incremental del archivo de la base de datos (CDIFF) se ha reescrito en Rust. La nueva implementación ha permitido acelerar significativamente la aplicación de actualizaciones que eliminan una gran cantidad de firmas de la base de datos. Este es el primer módulo reescrito en Rust.
- Se han aumentado los valores límite predeterminados:
- Tamaño MaxScan: 100M > 400M
- Tamaño máximo de archivo: 25M > 100M
- Longitud máxima de transmisión: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- PE integrado máximo: 10 M > 40 M
- MaxHTMLNormalizar: 10M > 40M
- MaxScriptNormalizar: 5M > 20M
- MaxHTMLNoEtiquetas: 2M > 8M
- El tamaño máximo de línea en los archivos de configuración Freshclam.conf y clamd.conf se ha aumentado de 512 a 1024 caracteres (al especificar tokens de acceso, el parámetro DatabaseMirror podría exceder los 512 bytes).
- Para identificar imágenes utilizadas para phishing o distribución de malware, se ha implementado soporte para un nuevo tipo de firmas lógicas que utilizan el método de hashing difuso, que permite identificar objetos similares con cierto grado de probabilidad. Para generar un hash difuso para una imagen, puede utilizar el comando "sigtool —fuzzy-img".
- ClamScan y ClamDScan tienen capacidades integradas de escaneo de memoria de proceso. Esta característica se transfirió del paquete ClamWin y es específica de la plataforma Windows. Se agregaron las opciones "--memory", "--kill" y "--unload" a ClamScan y ClamDScan en la plataforma Windows.
- Componentes de tiempo de ejecución actualizados para ejecutar código de bytes basado en LLVM. Para aumentar el rendimiento del escaneo en comparación con el intérprete de código de bytes predeterminado, se ha propuesto un modo de compilación JIT. Se ha interrumpido el soporte para versiones anteriores de LLVM; las versiones 8 a 12 de LLVM ahora se pueden usar para trabajar.
- Se agregó una configuración GenerateMetadataJson a Clamd, que es equivalente a la opción “--gen-json” en clamscan y hace que los metadatos sobre el progreso del escaneo se escriban en el archivo metadata.json en formato JSON.
- Es posible construir usando la biblioteca externa TomsFastMath (libtfm), habilitada usando las opciones “-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”, “-D TomsFastMath_INCLUDE_DIR= " y "-D TomsFastMath_LIBRARY= " La copia incluida de la biblioteca TomsFastMath se actualizó a la versión 0.13.1.
- La utilidad Freshclam ha mejorado el comportamiento al manejar el tiempo de espera de ReceiverTimeout, que ahora solo finaliza las descargas congeladas y no interrumpe las descargas lentas activas con datos transferidos a través de canales de comunicación deficientes.
- Se agregó soporte para construir ClamdTop usando la biblioteca ncursesw si falta ncurses.
- Vulnerabilidades solucionadas:
- CVE-2022-20803 es un doble gratuito en el analizador de archivos OLE2.
- CVE-2022-20770 Un bucle infinito en el analizador de archivos CHM.
- CVE-2022-20796: Fallo debido a una desreferencia de puntero NULL en el código de verificación de caché.
- CVE-2022-20771: bucle infinito en el analizador de archivos TIFF.
- CVE-2022-20785: pérdida de memoria en el analizador HTML y el normalizador de Javascript.
- CVE-2022-20792: Desbordamiento de búfer en el módulo de carga de la base de datos de firmas.
Fuente: opennet.ru