A Cisco bemutatta ingyenes víruskereső csomagjának egy jelentős új kiadását, a ClamAV 0.105.0-t, valamint közzétette a ClamAV 0.104.3 és 0.103.6 javító kiadásait, amelyek a sebezhetőségeket és hibákat javítják. Emlékezzünk vissza, hogy a projekt 2013-ban a Cisco kezébe került a Sourcefire, a ClamAV-t és a Snortot fejlesztő cég megvásárlása után. A projekt kódja a GPLv2 licenc alatt kerül terjesztésre.
Főbb fejlesztések a ClamAV 0.105-ben:
- A Rust nyelv fordítója a szükséges összeállítási függőségek közé tartozik. Az építéshez legalább Rust 1.56 szükséges. A Rust szükséges függőségi könyvtárait a fő ClamAV csomag tartalmazza.
- Az adatbázis-archívum (CDIFF) fokozatos frissítésének kódja át lett írva a Rustban. Az új megvalósítás lehetővé tette a nagyszámú aláírást az adatbázisból eltávolító frissítések alkalmazásának jelentős felgyorsítását. Ez az első modul, amelyet Rustban újraírtak.
- Az alapértelmezett határértékek megemelkedtek:
- MaxScanSize: 100M > 400M
- Max FileSize: 25M > 100M
- StreamMaxLength: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- Maximális beágyazott PE: 10M > 40M
- MaxHTMLNormalizálás: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- A freshclam.conf és clamd.conf konfigurációs fájlok maximális sormérete 512 karakterről 1024 karakterre nőtt (a hozzáférési jogkivonatok megadásakor a DatabaseMirror paraméter meghaladhatja az 512 bájtot).
- Az adathalászathoz vagy rosszindulatú programok terjesztéséhez használt képek azonosítására új típusú logikai aláírások támogatására került sor, amelyek a fuzzy hash módszert használják, amely lehetővé teszi a hasonló objektumok bizonyos fokú azonosítását. Ha egy képhez fuzzy hash-t szeretne generálni, használja a „sigtool —fuzzy-img” parancsot.
- A ClamScan és a ClamDScan beépített folyamatmemória szkennelési képességekkel rendelkezik. Ez a funkció a ClamWin csomagból került át, és a Windows platformra jellemző. "--memory", "--kill" és "--unload" opciók hozzáadva a ClamScan és ClamDScan rendszerhez a Windows platformon.
- Frissített futásidejű összetevők az LLVM alapú bájtkód végrehajtásához. A szkennelési teljesítmény növelése érdekében az alapértelmezett bájtkód értelmezőhöz képest JIT fordítási módot javasoltak. Az LLVM régebbi verzióinak támogatása megszűnt; az LLVM 8–12-es verziói már használhatók munkához.
- A GenerateMetadataJson beállítás hozzáadásra került a Clamd-hez, amely egyenértékű a clamscan „--gen-json” beállításával, és a vizsgálat folyamatával kapcsolatos metaadatokat a metadata.json fájlba írja JSON formátumban.
- Lehetővé teszi a TomsFastMath (libtfm) külső könyvtár használatával történő építkezést, a „-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”, „-D TomsFastMath_INCLUDE_DIR=” és „-D TomsFastMath_LIBRARY=” opciókkal engedélyezve. A TomsFastMath könyvtár mellékelt példánya a 0.13.1-es verzióra frissült.
- A Freshclam segédprogram jobb viselkedést mutatott a ReceiveTimeout időtúllépés kezelésekor, amely most már csak a lefagyott letöltéseket szakítja meg, és nem szakítja meg az aktív lassú letöltéseket rossz kommunikációs csatornákon továbbított adatokkal.
- Támogatás hozzáadva a ClamdTop létrehozásához az ncursesw könyvtár használatával, ha az ncurses hiányzik.
- Sebezhetőség javítása:
- A CVE-2022-20803 egy dupla ingyenes az OLE2 fájlelemzőben.
- CVE-2022-20770 Végtelen ciklus a CHM fájlelemzőben.
- CVE-2022-20796 – Összeomlás a gyorsítótár-ellenőrző kódban található NULL mutatóhivatkozás miatt.
- CVE-2022-20771 – Végtelen ciklus a TIFF fájlelemzőben.
- CVE-2022-20785 – Memóriaszivárgás a HTML-elemzőben és a Javascript-normalizálóban.
- CVE-2022-20792 – Puffertúlcsordulás az aláírási adatbázis-betöltő modulban.
Forrás: opennet.ru