Cisco a introduit une nouvelle version majeure de sa suite antivirus gratuite, ClamAV 0.105.0, et a également publié des versions correctives de ClamAV 0.104.3 et 0.103.6 qui corrigent des vulnérabilités et des bugs. Rappelons que le projet est passé entre les mains de Cisco en 2013 après le rachat de Sourcefire, la société développant ClamAV et Snort. Le code du projet est distribué sous licence GPLv2.
Principales améliorations de ClamAV 0.105 :
- Un compilateur pour le langage Rust est inclus dans les dépendances de build requises. La construction nécessite au moins Rust 1.56. Les bibliothèques de dépendances nécessaires dans Rust sont incluses dans le package principal ClamAV.
- Le code de mise à jour incrémentielle de l'archive de la base de données (CDIFF) a été réécrit dans Rust. La nouvelle implémentation a permis d'accélérer considérablement l'application des mises à jour supprimant un grand nombre de signatures de la base de données. Il s'agit du premier module réécrit en Rust.
- Les valeurs limites par défaut ont été augmentées :
- Taille MaxScan : 100 M > 400 M
- Taille maximale du fichier : 25 M > 100 M
- Longueur maximale du flux : 25 M > 100 M
- Taille du fichier PCREMax : 25 M > 100 M
- MaxEmbeddedPE : 10 M > 40 M
- MaxHTMLNormaliser : 10 M > 40 M
- MaxScriptNormaliser : 5 M > 20 M
- MaxHTMLNoTags : 2 M > 8 M
- La taille maximale des lignes dans les fichiers de configuration freshclam.conf et clamd.conf a été augmentée de 512 à 1024 caractères (lors de la spécification des jetons d'accès, le paramètre DatabaseMirror pouvait dépasser 512 octets).
- Pour identifier les images utilisées à des fins de phishing ou de distribution de logiciels malveillants, un nouveau type de signatures logiques utilisant la méthode de hachage flou a été implémenté, ce qui permet d'identifier des objets similaires avec un certain degré de probabilité. Pour générer un hachage flou pour une image, vous pouvez utiliser la commande « sigtool —fuzzy-img ».
- ClamScan et ClamDScan disposent de capacités intégrées d'analyse de la mémoire de processus. Cette fonctionnalité a été transférée du package ClamWin et est spécifique à la plateforme Windows. Ajout des options "--memory", "--kill" et "--unload" à ClamScan et ClamDScan sur la plateforme Windows.
- Composants d'exécution mis à jour pour l'exécution de bytecode basé sur LLVM. Pour augmenter les performances d'analyse par rapport à l'interpréteur de bytecode par défaut, un mode de compilation JIT a été proposé. La prise en charge des anciennes versions de LLVM a été interrompue ; les versions 8 à 12 de LLVM peuvent désormais être utilisées à des fins professionnelles.
- Un paramètre GenerateMetadataJson a été ajouté à Clamd, qui est équivalent à l'option « --gen-json » dans clamscan et provoque l'écriture des métadonnées sur la progression de l'analyse dans le fichier metadata.json au format JSON.
- Il est possible de construire en utilisant la bibliothèque externe TomsFastMath (libtfm), activée à l'aide des options « -D ENABLE_EXTERNAL_TOMSFASTMATH=ON », « -D TomsFastMath_INCLUDE_DIR= " et "-D TomsFastMath_LIBRARY= " La copie incluse de la bibliothèque TomsFastMath a été mise à jour vers la version 0.13.1.
- L'utilitaire Freshclam a amélioré son comportement lors de la gestion du délai d'attente de réception, qui met désormais uniquement fin aux téléchargements gelés et n'interrompt pas les téléchargements lents actifs avec des données transférées sur des canaux de communication médiocres.
- Ajout de la prise en charge de la création de ClamdTop à l'aide de la bibliothèque ncursesw si ncurses est manquant.
- Vulnérabilités corrigées :
- CVE-2022-20803 est un double libre dans l'analyseur de fichiers OLE2.
- CVE-2022-20770 Une boucle infinie dans l'analyseur de fichiers CHM.
- CVE-2022-20796 - Crash dû à un déréférencement de pointeur NULL dans le code de vérification du cache.
- CVE-2022-20771 – Boucle infinie dans l'analyseur de fichiers TIFF.
- CVE-2022-20785 - Fuite de mémoire dans l'analyseur HTML et le normalisateur Javascript.
- CVE-2022-20792 - Débordement de tampon dans le module de chargement de la base de données de signatures.
Source: opennet.ru