Cisco a annoncé une nouvelle version majeure de sa suite antivirus gratuite, ClamAV 0.104.0. Rappelons que le projet est passé entre les mains de Cisco en 2013 après le rachat de Sourcefire, la société développant ClamAV et Snort. Le code du projet est distribué sous licence GPLv2.
Dans le même temps, Cisco a annoncé le début de la formation de branches ClamAV avec un support à long terme (LTS), dont le support sera assuré pendant trois ans à compter de la date de publication de la première version de la branche. La première branche LTS sera ClamAV 0.103, des mises à jour avec vulnérabilités et problèmes critiques seront publiées jusqu'en 2023.
Les mises à jour pour les branches régulières non LTS seront publiées pendant au moins 4 mois supplémentaires après la première version de la branche suivante (par exemple, les mises à jour pour la branche ClamAV 0.104.x seront publiées pendant encore 4 mois après la sortie de ClamAV 0.105.0. 4). La possibilité de télécharger la base de données de signatures pour les branches non LTS sera également fournie pendant au moins XNUMX mois supplémentaires après la sortie de la branche suivante.
Un autre changement important a été la formation de packages d'installation officiels, vous permettant de mettre à jour sans reconstruire à partir des textes sources et sans attendre que les packages apparaissent dans les distributions. Les packages sont préparés pour Linux (aux formats RPM et DEB dans les versions pour architectures x86_64 et i686), macOS (pour x86_64 et ARM64, y compris la prise en charge de la puce Apple M1) et Windows (x64 et win32). De plus, la publication d'images de conteneurs officielles sur Docker Hub a commencé (les images sont proposées avec et sans base de données de signatures intégrée). À l'avenir, j'avais prévu de publier des packages RPM et DEB pour l'architecture ARM64 et de publier des assemblages pour FreeBSD (x86_64).
Principales améliorations de ClamAV 0.104 :
- Transition vers l'utilisation du système d'assemblage CMake, dont la présence est désormais requise pour construire ClamAV. Les systèmes de build Autotools et Visual Studio ont été abandonnés.
- Les composants LLVM intégrés à la distribution ont été supprimés au profit de l'utilisation de bibliothèques LLVM externes existantes. Au moment de l'exécution, pour traiter les signatures avec le bytecode intégré, un interpréteur de bytecode est utilisé par défaut, qui ne prend pas en charge JIT. Si vous devez utiliser LLVM au lieu d'un interpréteur de bytecode lors de la construction, vous devez spécifier explicitement les chemins d'accès aux bibliothèques LLVM 3.6.2 (la prise en charge des versions plus récentes devrait être ajoutée ultérieurement)
- Les processus clamd et freshclam sont désormais disponibles en tant que services Windows. Pour installer ces services, l'option « --install-service » est fournie, et pour démarrer, vous pouvez utiliser la commande standard « net start [nom] ».
- Une nouvelle option d'analyse a été ajoutée qui avertit du transfert de fichiers graphiques endommagés, grâce à laquelle des tentatives potentielles d'exploitation des vulnérabilités des bibliothèques graphiques peuvent être faites. La validation du format est implémentée pour les fichiers JPEG, TIFF, PNG et GIF et est activée via le paramètre AlertBrokenMedia dans clamd.conf ou l'option de ligne de commande "--alert-broken-media" dans clamscan.
- Ajout de nouveaux types CL_TYPE_TIFF et CL_TYPE_JPEG pour plus de cohérence avec la définition des fichiers GIF et PNG. Les types BMP et JPEG 2000 continuent d'être définis comme CL_TYPE_GRAPHICS car l'analyse du format n'est pas prise en charge pour eux.
- ClamScan a ajouté un indicateur visuel de la progression du chargement des signatures et de la compilation du moteur, qui est effectuée avant le début de l'analyse. L'indicateur ne s'affiche pas lors d'un lancement depuis l'extérieur du terminal ou lorsque l'une des options « --debug », « -quiet », « -infected », « -no-summary » est spécifiée.
- Pour afficher la progression, libclamav a ajouté les appels de rappel cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() et engine free : cl_engine_set_clcb_engine_free_progress(), avec lesquels les applications peuvent suivre et estimer le temps d'exécution des étapes préliminaires de chargement et de compilation des signatures.
- Ajout de la prise en charge du masque de formatage de chaîne « %f » à l'option VirusEvent pour remplacer le chemin d'accès au fichier dans lequel le virus a été détecté (similaire au masque « %v » avec le nom du virus détecté). Dans VirusEvent, des fonctionnalités similaires sont également disponibles via les variables d'environnement $CLAM_VIRUSEVENT_FILENAME et $CLAM_VIRUSEVENT_VIRUSNAME.
- Amélioration des performances du module de décompression du script AutoIt.
- Ajout de la prise en charge de l'extraction d'images à partir de fichiers *.xls (Excel OLE2).
- Il est possible de télécharger des hachages Authenticode basés sur l'algorithme SHA256 sous forme de fichiers *.cat (utilisés pour vérifier les fichiers exécutables Windows signés numériquement).
Source: opennet.ru