Cisco anunciou unha nova versión importante da súa suite de antivirus gratuíto, ClamAV 0.104.0. Lembremos que o proxecto pasou a mans de Cisco en 2013 tras a compra de Sourcefire, a empresa que desenvolve ClamAV e Snort. O código do proxecto distribúese baixo a licenza GPLv2.
Ao mesmo tempo, Cisco anunciou o inicio da formación de ramas de soporte a longo prazo (LTS) de ClamAV, que terán soporte durante tres anos desde a data de publicación do primeiro lanzamento na rama. A primeira rama LTS será ClamAV 0.103, as actualizacións con vulnerabilidades e problemas críticos publicaranse ata 2023.
As actualizacións para as sucursais regulares non LTS publicaranse durante polo menos outros 4 meses despois da primeira versión da seguinte rama (por exemplo, as actualizacións para a rama ClamAV 0.104.x publicaranse durante outros 4 meses despois do lanzamento de ClamAV 0.105.0. 4). Tamén se ofrecerá a posibilidade de descargar a base de datos de sinaturas para as sucursais non LTS durante, polo menos, outros XNUMX meses despois do lanzamento da seguinte sucursal.
Outro cambio significativo foi a formación de paquetes de instalación oficiais, que permiten actualizar sen reconstruír a partir dos textos fonte e sen esperar a que aparezan paquetes nas distribucións. Os paquetes están preparados para Linux (en formatos RPM e DEB en versións para arquitecturas x86_64 e i686), macOS (para x86_64 e ARM64, incluíndo soporte para o chip Apple M1) e Windows (x64 e win32). Ademais, comezou a publicación de imaxes de contedores oficiais en Docker Hub (as imaxes ofrécense con e sen unha base de datos de sinaturas integrada). No futuro, planeaba publicar paquetes RPM e DEB para a arquitectura ARM64 e as montaxes posteriores para FreeBSD (x86_64).
Melloras clave en ClamAV 0.104:
- Transición ao uso do sistema de montaxe CMake, cuxa presenza agora é necesaria para construír ClamAV. Autotools e os sistemas de compilación de Visual Studio foron descontinuados.
- Elimináronse os compoñentes LLVM integrados na distribución a favor do uso de bibliotecas LLVM externas existentes. En tempo de execución, para procesar sinaturas con código de bytes incorporado, utilízase por defecto un intérprete de código de bytes, que non ten compatibilidade con JIT. Se necesitas usar LLVM en lugar dun intérprete de bytecode ao construír, debes especificar explícitamente as rutas ás bibliotecas LLVM 3.6.2 (prevese engadir soporte para versións máis recentes máis tarde)
- Os procesos clamd e freshclam agora están dispoñibles como servizos de Windows. Para instalar estes servizos, ofrécese a opción "--install-service" e para comezar pode usar o comando estándar "net start [nome]".
- Engadiuse unha nova opción de dixitalización que advirte sobre a transferencia de ficheiros gráficos danados, a través da cal se poden facer posibles intentos de explotar vulnerabilidades nas bibliotecas gráficas. A validación do formato está implementada para ficheiros JPEG, TIFF, PNG e GIF, e está habilitada mediante a configuración AlertBrokenMedia en clamd.conf ou a opción de liña de comandos "--alert-broken-media" en clamscan.
- Engadíronse novos tipos CL_TYPE_TIFF e CL_TYPE_JPEG para a coherencia coa definición de ficheiros GIF e PNG. Os tipos BMP e JPEG 2000 seguen a definirse como CL_TYPE_GRAPHICS porque non se admiten a análise de formato.
- ClamScan engadiu un indicador visual do progreso da carga de sinaturas e da compilación do motor, que se realiza antes de comezar a dixitalización. O indicador non se mostra cando se inicia desde fóra do terminal ou cando se especifica unha das opcións "--debug", "-quiet", "-infected", "-no-summary".
- Para mostrar o progreso, libclamav engadiu chamadas de devolución de chamada cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() e engine free: cl_engine_set_clcb_engine_free_progress(), co que as aplicacións poden rastrexar e estimar o tempo de execución das fases preliminares de compilación de sinaturas e cargas.
- Engadiuse soporte para a máscara de formato de cadea "%f" á opción VirusEvent para substituír o camiño ao ficheiro no que se detectou o virus (semellante á máscara "%v" co nome do virus detectado). En VirusEvent, unha funcionalidade similar tamén está dispoñible a través das variables de ambiente $CLAM_VIRUSEVENT_FILENAME e $CLAM_VIRUSEVENT_VIRUSNAME.
- Mellorouse o rendemento do módulo de desempaquetado de scripts de AutoIt.
- Engadido soporte para extraer imaxes de ficheiros *.xls (Excel OLE2).
- É posible descargar hashs de Authenticode baseados no algoritmo SHA256 en forma de ficheiros *.cat (utilizados para verificar ficheiros executables de Windows asinados dixitalmente).
Fonte: opennet.ru