Cisco ha presentado una nueva versión importante de su paquete antivirus gratuito, ClamAV 1.0.0. La nueva rama se destaca por la transición a la numeración tradicional de versiones "Major.Minor.Patch" (en lugar de 0.Version.Patch). El cambio significativo de versión también se debe a los cambios realizados en la biblioteca libclamav que rompen la compatibilidad a nivel ABI debido a la eliminación del espacio de nombres CLAMAV_PUBLIC, el cambio del tipo de argumentos en la función cl_strerror y la inclusión de símbolos para el lenguaje Rust en el espacio de nombres. El proyecto pasó a manos de Cisco en 2013 tras comprar Sourcefire, la empresa desarrolladora de ClamAV y Snort. El código del proyecto se distribuye bajo la licencia GPLv2.
La rama 1.0.0 está clasificada como soporte a largo plazo (LTS), que cuenta con soporte durante tres años. El lanzamiento de ClamAV 1.0.0 reemplazará la rama LTS anterior de ClamAV 0.103, para la cual se lanzarán actualizaciones con vulnerabilidades y problemas críticos hasta septiembre de 2023. Las actualizaciones para las sucursales regulares que no son LTS se publican durante al menos 4 meses después del primer lanzamiento de la siguiente sucursal. La posibilidad de descargar la base de datos de firmas para sucursales que no son LTS también se brinda durante al menos otros 4 meses después del lanzamiento de la siguiente sucursal.
Mejoras clave en ClamAV 1.0:
- Se agregó soporte para descifrar archivos XLS basados en OLE2 de solo lectura cifrados con una contraseña predeterminada.
- El código se ha reescrito para implementar el modo de todas las coincidencias, en el que se determinan todas las coincidencias del archivo, es decir, El escaneo continúa después del primer partido. Se observa que el nuevo código es más confiable y más fácil de mantener. La nueva implementación también elimina una serie de deficiencias conceptuales que aparecen al verificar por firmas en el modo All-match. Se agregaron pruebas para verificar la exactitud del comportamiento de todas las coincidencias.
- Se ha agregado una llamada de devolución de llamada clcb_file_inspection() a la API para conectar controladores que inspeccionan el contenido de los archivos, incluidos los extraídos de archivos.
- La función cl_cvdunpack() se ha agregado a la API para descomprimir archivos de firmas en formato CVD.
- Los scripts para crear imágenes de Docker con ClamAV se han movido a un repositorio de Clamav-docker separado. La imagen de la ventana acoplable incluye archivos de encabezado para la biblioteca C.
- Se agregaron comprobaciones para limitar el nivel de recursividad al extraer objetos de documentos PDF.
- Se aumentó el límite en el tamaño de la memoria asignada al procesar datos de entrada no confiables y se emitió una advertencia cuando se excede este límite.
- Se ha acelerado significativamente el montaje de pruebas unitarias para la biblioteca libclamav-Rust. Los módulos escritos en Rust para ClamAV ahora se recopilan en un directorio compartido con ClamAV.
- Se han relajado las restricciones al verificar la superposición de registros en archivos ZIP, lo que permitió eliminar las falsas advertencias al procesar archivos JAR ligeramente modificados, pero no maliciosos.
- La compilación especifica las versiones mínima y máxima admitidas de LLVM. Intentar compilar con una versión demasiado antigua o demasiado nueva ahora generará un error que advierte que hay problemas de compatibilidad.
- Permite compilar con su propia lista RPATH (la lista de directorios desde los cuales se cargan las bibliotecas compartidas), lo que permite mover los ejecutables a una ubicación diferente después de compilarlos en el entorno de desarrollo.
Fuente: opennet.ru