Despois de seis meses de desenvolvemento, Cisco publicou o lanzamento da suite antivirus gratuíta ClamAV 1.3.0. O proxecto pasou a mans de Cisco en 2013 tras adquirir Sourcefire, a empresa que desenvolve ClamAV e Snort. O código do proxecto distribúese baixo a licenza GPLv2. A rama 1.3.0 clasifícase como regular (non LTS), as actualizacións das cales se publican polo menos 4 meses despois da primeira versión da seguinte rama. Tamén se ofrece a posibilidade de descargar a base de datos de sinaturas para as sucursais non LTS durante polo menos outros 4 meses despois do lanzamento da seguinte rama.
Melloras clave en ClamAV 1.3:
- Engadiuse compatibilidade para extraer e comprobar os anexos utilizados nos ficheiros de Microsoft OneNote. A análise de OneNote está activada de forma predeterminada, pero pódese desactivar se o desexa configurando "ScanOneNote no" en clamd.conf, especificando a opción de liña de comandos "--scan-onenote=no" ao executar a utilidade clamscan ou engadindo a marca CL_SCAN_PARSE_ONENOTE a o parámetro options.parse cando se usa libclamav.
- Estableceuse a montaxe de ClamAV no sistema operativo tipo BeOS Haiku.
- Engadiuse a comprobación a clamd da existencia do directorio de ficheiros temporais especificado no ficheiro clamd.conf mediante a directiva TemporaryDirectory. Se falta este directorio, agora o proceso sae cun erro.
- Ao configurar a compilación de bibliotecas estáticas en CMake, a instalación das bibliotecas estáticas libclamav_rust, libclammspack, libclamunrar_iface e libclamunrar, utilizadas en libclamav, está garantida.
- Implementouse a detección de tipo de ficheiro para os scripts de Python compilados (.pyc). O tipo de ficheiro pásase en forma do parámetro de cadea CL_TYPE_PYTHON_COMPILED, compatible coas funcións clcb_pre_cache, clcb_pre_scan e clcb_file_inspection.
- Compatibilidade mellorada para descifrar documentos PDF cun contrasinal en branco.
Ao mesmo tempo, xeráronse actualizacións ClamAV 1.2.2 e 1.0.5, que corrixiron dúas vulnerabilidades que afectaban ás ramas 0.104, 0.105, 1.0, 1.1 e 1.2:
- CVE-2024-20328 - Posibilidade de substitución de comandos durante a exploración de ficheiros en clamd debido a un erro na implementación da directiva "VirusEvent", utilizada para executar un comando arbitrario se se detecta un virus. Aínda non se revelaron os detalles da explotación da vulnerabilidade; o único que se sabe é que o problema se solucionou desactivando a compatibilidade co parámetro de formato de cadea de VirusEvent '%f', que foi substituído polo nome do ficheiro infectado.
Ao parecer, o ataque redúcese a transmitir un nome especialmente deseñado dun ficheiro infectado que contén caracteres especiais que non se poden escapar ao executar o comando especificado en VirusEvent. Cabe destacar que xa se solucionou unha vulnerabilidade semellante en 2004 e tamén eliminando o soporte para a substitución '%f', que despois foi devolto na versión de ClamAV 0.104 e levou á reactivación da antiga vulnerabilidade. Na antiga vulnerabilidade, para executar o seu comando durante unha análise de virus, só tiña que crear un ficheiro chamado "; mkdir owned" e escriba a sinatura da proba de virus nel.
- CVE-2024-20290 é un desbordamento do búfer no código de análise de ficheiros OLE2, que podería ser usado por un atacante remoto non autenticado para provocar unha denegación de servizo (falla no proceso de dixitalización). O problema é causado por unha comprobación incorrecta do final de liña durante a exploración do contido, que provoca a lectura dunha área fóra do límite do búfer.
Fonte: opennet.ru