PÀrast kuuekuulist arendustööd on Cisco avaldanud tasuta viirusetÔrjekomplekti ClamAV 1.3.0. Projekt lÀks Cisco kÀtte 2013. aastal pÀrast ClamAV-i ja Snorti arendava ettevÔtte Sourcefire ostmist. Projekti koodi levitatakse GPLv2 litsentsi all. 1.3.0 haru on klassifitseeritud tavaliseks (mitte LTS), mille uuendused avaldatakse vÀhemalt 4 kuud pÀrast jÀrgmise haru esimest vÀljalaskmist. Allkirjade andmebaasi allalaadimise vÔimalus ka mitte-LTS-i filiaalide jaoks on ette nÀhtud veel vÀhemalt 4 kuuks pÀrast jÀrgmise haru vabastamist.
ClamAV 1.3 peamised tÀiustused:
- Lisatud tugi Microsoft OneNote'i failides kasutatavate manuste ekstraktimiseks ja kontrollimiseks. OneNote'i sÔelumine on vaikimisi lubatud, kuid selle saab soovi korral keelata, mÀÀrates failis clamd.conf "ScanOneNote'i ei", mÀÀrates clamscani utiliidi kÀitamisel kÀsurea valiku "--scan-onenote=no" vÔi lisades lipu CL_SCAN_PARSE_ONENOTE. parameeter options.parse libclamavi kasutamisel.
- ClamAV-i kokkupanek BeOS-i sarnases operatsioonisĂŒsteemis Haiku on loodud.
- Lisati failis clamd.conf mÀÀratud ajutiste failide kataloogi olemasolu kontrollimine clamd-ile kĂ€skkirja TemporaryDirectory kaudu. Kui see kataloog puudub, vĂ€ljub protsess nĂŒĂŒd veaga.
- Staatiliste teekide ehitamise seadistamisel CMake'is on tagatud libclamavis kasutatavate staatiliste teekide libclamav_rust, libclammspack, libclamunrar_iface ja libclamunrar installimine.
- Rakendatud failitĂŒĂŒbi tuvastamine koostatud Pythoni skriptide jaoks (.pyc). FailitĂŒĂŒp edastatakse stringiparameetri CL_TYPE_PYTHON_COMPILED kujul, mida toetavad funktsioonid clcb_pre_cache, clcb_pre_scan ja clcb_file_inspection.
- TĂ€iustatud tugi PDF-dokumentide dekrĂŒpteerimiseks tĂŒhja parooliga.
Samal ajal genereeriti ClamAV 1.2.2 ja 1.0.5 vÀrskendused, mis parandasid kaks haavatavust, mis mÔjutasid harusid 0.104, 0.105, 1.0, 1.1 ja 1.2:
- CVE-2024-20328 â kĂ€skude asendamise vĂ”imalus faili kontrollimise ajal rakenduses Clamd tĂ”rke tĂ”ttu direktiivi "VirusEvent" rakendamisel, mida kasutatakse suvalise kĂ€su kĂ€ivitamiseks viiruse tuvastamisel. Haavatavuse Ă€rakasutamise ĂŒksikasju pole veel avalikustatud, teada on vaid see, et probleem lahendati VirusEvent stringi vorminguparameetri '%f' toe keelamisega, mis asendati nakatunud faili nimega.
Ilmselt taandub rĂŒnnak nakatunud faili spetsiaalselt loodud nime edastamisega, mis sisaldab erimĂ€rke, millest VirusEvent mÀÀratud kĂ€su kĂ€ivitamisel ei pÀÀse. TĂ€helepanuvÀÀrne on, et sarnane haavatavus parandati juba 2004. aastal ja eemaldati ka '%f' asendustoe, mis seejĂ€rel tagastati ClamAV 0.104 vĂ€ljalaskes ja viis vana haavatavuse taaselustamiseni. Vana haavatavus pidi viirusekontrolli ajal kĂ€su tĂ€itmiseks looma ainult faili nimega "; mkdir owned" ja kirjutage sinna viirusetesti signatuur.
- CVE-2024-20290 on puhvri ĂŒletĂ€itumine OLE2 faili sĂ”elumiskoodis, mida autentimata kaugrĂŒndaja vĂ”ib kasutada teenuse keelamise (skannimisprotsessi krahhi) tekitamiseks. Probleemi pĂ”hjuseks on vale rea lĂ”pu kontroll sisu skannimise ajal, mille tulemuseks on lugemine vĂ€ljaspool puhvri piiri.
Allikas: opennet.ru
