Kuuden kuukauden kehitystyön jälkeen Cisco on julkaissut ilmaisen virustorjuntaohjelmiston ClamAV 1.3.0. Projekti siirtyi Ciscon käsiin vuonna 2013, kun se osti ClamAV:tä ja Snortia kehittävän Sourcefiren. Projektikoodia jaetaan GPLv2-lisenssillä. 1.3.0-haara on luokiteltu tavalliseksi (ei LTS), jonka päivitykset julkaistaan vähintään 4 kuukautta seuraavan haaran ensimmäisen julkaisun jälkeen. Mahdollisuus ladata allekirjoitustietokanta muille kuin LTS-haareille tarjotaan myös vielä vähintään 4 kuukauden ajan seuraavan haaran julkaisun jälkeen.
Tärkeimmät parannukset ClamAV 1.3:ssä:
- Lisätty tuki Microsoft OneNote -tiedostoissa käytettyjen liitteiden purkamiseen ja tarkistamiseen. OneNote-jäsennys on oletusarvoisesti käytössä, mutta se voidaan haluttaessa poistaa käytöstä asettamalla "ScanOneNote no" tiedostoon clamd.conf, määrittämällä komentorivivaihtoehto "--scan-onenote=no", kun ajetaan clamscan-apuohjelmaa, tai lisäämällä CL_SCAN_PARSE_ONENOTE-lippu Options.parse-parametri käytettäessä libclamavia.
- ClamAV:n kokoonpano BeOS-tyyppiseen Haiku-käyttöjärjestelmään on perustettu.
- Lisätty tarkistus clamd.conf-tiedostossa määritettyjen väliaikaisten tiedostojen hakemiston olemassaolosta TemporaryDirectory-direktiivin kautta. Jos tämä hakemisto puuttuu, prosessi poistuu nyt virheestä.
- Kun määritetään staattisten kirjastojen koontiversio CMakessa, libclamavissa käytettyjen staattisten kirjastojen libclamav_rust, libclammspack, libclamunrar_iface ja libclamunrar asennus varmistetaan.
- Toteutettu tiedostotyypin tunnistus käännetyille Python-skripteille (.pyc). Tiedostotyyppi välitetään merkkijonoparametrin CL_TYPE_PYTHON_COMPILED muodossa, jota tuetaan funktioissa clcb_pre_cache, clcb_pre_scan ja clcb_file_inspection.
- Parannettu tuki PDF-dokumenttien salauksen purkamiseen tyhjällä salasanalla.
Samaan aikaan luotiin ClamAV 1.2.2 ja 1.0.5 päivitykset, jotka korjasivat kaksi haavoittuvuutta haaroihin 0.104, 0.105, 1.0, 1.1 ja 1.2:
- CVE-2024-20328 - Mahdollisuus komentojen korvaamiseen Clamd-tiedoston tarkistuksen aikana "VirusEvent"-direktiivin täytäntöönpanovirheen vuoksi. Käytetään mielivaltaisen komennon suorittamiseen, jos virus havaitaan. Haavoittuvuuden hyödyntämisen yksityiskohtia ei ole vielä paljastettu, vaan tiedetään vain, että ongelma korjattiin poistamalla tuki VirusEvent-merkkijonon muotoiluparametrille %f, joka korvattiin tartunnan saaneen tiedoston nimellä.
Ilmeisesti hyökkäys tiivistyy siihen, että saastuneelle tiedostolle lähetetään erityisesti suunniteltu nimi, joka sisältää erikoismerkkejä, joita ei voida välttää, kun suoritetaan VirusEventissä määritettyä komentoa. On huomionarvoista, että samanlainen haavoittuvuus korjattiin jo vuonna 2004 ja myös poistamalla tuki '%f'-korvaukselle, joka sitten palautettiin ClamAV 0.104:n julkaisussa ja johti vanhan haavoittuvuuden elvyttämiseen. Vanhassa haavoittuvuudessa sinun piti suorittaa komentosi virustarkistuksen aikana vain luoda tiedosto nimeltä "; mkdir owned" ja kirjoita siihen virustestitunniste.
- CVE-2024-20290 on puskurin ylivuoto OLE2-tiedoston jäsennyskoodissa, jota todentamaton etähyökkääjä voi käyttää palveluneston (tarkistusprosessin kaatumisen) aiheuttamiseen. Ongelma johtuu virheellisestä rivin lopun tarkistuksesta sisällön tarkistuksen aikana, mikä johtaa lukemiseen puskurin rajan ulkopuolelta.
Lähde: opennet.ru