Cisco a dévoilé une nouvelle version majeure de sa suite antivirus gratuite, ClamAV 1.0.0. La nouvelle branche se distingue par le passage à la numérotation traditionnelle des versions « Major.Minor.Patch » (au lieu de 0.Version.Patch). Le changement de version important est également dû aux modifications apportées à la bibliothèque libclamav qui rompent la compatibilité au niveau ABI en raison de la suppression de l'espace de noms CLAMAV_PUBLIC, de la modification du type d'arguments dans la fonction cl_strerror et de l'inclusion de symboles pour le langage Rust dans l'espace de noms. Le projet est passé entre les mains de Cisco en 2013 après le rachat de Sourcefire, la société développant ClamAV et Snort. Le code du projet est distribué sous licence GPLv2.
La branche 1.0.0 est classée comme support à long terme (LTS), qui est prise en charge pendant trois ans. La version de ClamAV 1.0.0 remplacera la précédente branche LTS de ClamAV 0.103, pour laquelle des mises à jour contenant des vulnérabilités et des problèmes critiques seront publiées jusqu'en septembre 2023. Les mises à jour pour les branches régulières non LTS sont publiées pendant au moins 4 mois après la première version de la branche suivante. La possibilité de télécharger la base de données de signatures pour les branches non LTS est également prévue pendant au moins 4 mois supplémentaires après la sortie de la branche suivante.
Principales améliorations de ClamAV 1.0 :
- Ajout de la prise en charge du déchiffrement des fichiers XLS en lecture seule basés sur OLE2 chiffrés avec un mot de passe par défaut.
- Le code a été réécrit pour implémenter le mode all-match, dans lequel toutes les correspondances du fichier sont déterminées, c'est-à-dire l'analyse se poursuit après la première correspondance. Le nouveau code se révèle plus fiable et plus facile à maintenir. La nouvelle implémentation élimine également une série de lacunes conceptuelles qui apparaissent lors de la vérification par signatures en mode all-match. Ajout de tests pour vérifier l'exactitude du comportement de toutes les correspondances.
- Un appel de rappel clcb_file_inspection() a été ajouté à l'API pour connecter les gestionnaires qui inspectent le contenu des fichiers, y compris ceux extraits des archives.
- La fonction cl_cvdunpack() a été ajoutée à l'API pour décompresser les archives de signatures au format CVD.
- Les scripts permettant de créer des images Docker avec ClamAV ont été déplacés vers un référentiel clamav-docker distinct. L'image Docker inclut les fichiers d'en-tête pour la bibliothèque C.
- Ajout de contrôles pour limiter le niveau de récursion lors de l'extraction d'objets à partir de documents PDF.
- La limite de la taille de la mémoire allouée lors du traitement de données d'entrée non fiables a été augmentée et un avertissement a été émis lorsque cette limite est dépassée.
- L'assemblage des tests unitaires pour la bibliothèque libclamav-Rust a été considérablement accéléré. Les modules écrits en Rust pour ClamAV sont désormais rassemblés dans un répertoire partagé avec ClamAV.
- Les restrictions ont été assouplies lors de la vérification du chevauchement des enregistrements dans les fichiers ZIP, ce qui a permis de s'affranchir des faux avertissements lors du traitement d'archives JAR légèrement modifiées, mais non malveillantes.
- La version spécifie les versions minimales et maximales prises en charge de LLVM. Essayer de construire avec une version trop ancienne ou trop nouvelle entraînera désormais un avertissement d'erreur indiquant qu'il existe des problèmes de compatibilité.
- Permet de construire avec sa propre liste RPATH (la liste des répertoires à partir desquels les bibliothèques partagées sont chargées), permettant aux exécutables d'être déplacés vers un emplacement différent après la construction dans l'environnement de développement.
Source: opennet.ru