Après six mois de développement, Cisco a publié la sortie de la suite antivirus gratuite ClamAV 1.3.0. Le projet est passé entre les mains de Cisco en 2013 après le rachat de Sourcefire, la société développant ClamAV et Snort. Le code du projet est distribué sous licence GPLv2. La branche 1.3.0 est classée comme régulière (non LTS), dont les mises à jour sont publiées au moins 4 mois après la première version de la branche suivante. La possibilité de télécharger la base de données de signatures pour les branches non LTS est également prévue pendant au moins 4 mois supplémentaires après la sortie de la branche suivante.
Principales améliorations de ClamAV 1.3 :
- Ajout de la prise en charge de l'extraction et de la vérification des pièces jointes utilisées dans les fichiers Microsoft OneNote. L'analyse OneNote est activée par défaut, mais peut être désactivée si vous le souhaitez en définissant « ScanOneNote no » dans clamd.conf, en spécifiant l'option de ligne de commande « --scan-onenote=no » lors de l'exécution de l'utilitaire clamscan ou en ajoutant l'indicateur CL_SCAN_PARSE_ONENOTE à le paramètre options.parse lors de l'utilisation de libclamav.
- L'assemblage de ClamAV dans le système d'exploitation de type BeOS Haiku a été établi.
- Ajout d'une vérification à clamd pour l'existence du répertoire des fichiers temporaires spécifié dans le fichier clamd.conf via la directive TemporaryDirectory. Si ce répertoire est manquant, le processus se termine désormais avec une erreur.
- Lors de la configuration de la construction des bibliothèques statiques dans CMake, l'installation des bibliothèques statiques libclamav_rust, libclammspack, libclamunrar_iface et libclamunrar, utilisées dans libclamav, est assurée.
- Implémentation de la détection du type de fichier pour les scripts Python compilés (.pyc). Le type de fichier est passé sous la forme du paramètre de chaîne CL_TYPE_PYTHON_COMPILED, pris en charge dans les fonctions clcb_pre_cache, clcb_pre_scan et clcb_file_inspection.
- Prise en charge améliorée du décryptage des documents PDF avec un mot de passe vide.
Parallèlement, des mises à jour ClamAV 1.2.2 et 1.0.5 ont été générées, corrigeant deux vulnérabilités affectant les branches 0.104, 0.105, 1.0, 1.1 et 1.2 :
- CVE-2024-20328 - Possibilité de substitution de commande lors de l'analyse de fichiers dans clamd en raison d'une erreur dans l'implémentation de la directive "VirusEvent", utilisée pour exécuter une commande arbitraire si un virus est détecté. Les détails de l'exploitation de la vulnérabilité n'ont pas encore été divulgués ; tout ce que l'on sait, c'est que le problème a été résolu en désactivant la prise en charge du paramètre de formatage de chaîne VirusEvent '%f', qui a été remplacé par le nom du fichier infecté.
Apparemment, l'attaque se résume à transmettre un nom spécialement conçu d'un fichier infecté contenant des caractères spéciaux qui ne peuvent pas être échappés lors de l'exécution de la commande spécifiée dans VirusEvent. Il est à noter qu'une vulnérabilité similaire a déjà été corrigée en 2004 et également en supprimant le support de la substitution '%f', qui a ensuite été renvoyée dans la version ClamAV 0.104 et a conduit à la résurrection de l'ancienne vulnérabilité. Dans l'ancienne vulnérabilité, pour exécuter votre commande lors d'une analyse antivirus, il vous suffisait de créer un fichier nommé « ; mkdirowned" et écrivez-y la signature du test de virus.
- CVE-2024-20290 est un débordement de tampon dans le code d'analyse du fichier OLE2, qui pourrait être utilisé par un attaquant distant non authentifié pour provoquer un déni de service (plantage du processus d'analyse). Le problème est dû à une vérification de fin de ligne incorrecte lors de l'analyse du contenu, entraînant une lecture à partir d'une zone située en dehors des limites de la mémoire tampon.
Source: opennet.ru