Setelah enam bulan pengembangan, Cisco telah menerbitkan rilis rangkaian antivirus gratis ClamAV 1.3.0. Proyek ini diserahkan ke tangan Cisco pada tahun 2013 setelah membeli Sourcefire, perusahaan yang mengembangkan ClamAV dan Snort. Kode proyek didistribusikan di bawah lisensi GPLv2. Cabang 1.3.0 diklasifikasikan sebagai cabang reguler (bukan LTS), pembaruannya diterbitkan setidaknya 4 bulan setelah rilis pertama cabang berikutnya. Kemampuan untuk mengunduh database tanda tangan untuk cabang non-LTS juga diberikan setidaknya 4 bulan setelah rilis cabang berikutnya.
Perbaikan utama di ClamAV 1.3:
- Menambahkan dukungan untuk mengekstrak dan memverifikasi lampiran yang digunakan dalam file Microsoft OneNote. Penguraian format OneNote diaktifkan secara default, tetapi dapat dinonaktifkan dengan mengatur "ScanOneNote no" di clamd.conf, menentukan opsi baris perintah "--scan-onenote=no" saat menjalankan clamscan, atau menambahkan flag CL_SCAN_PARSE_ONENOTE ke parameter options.parse saat menggunakan libclamav.
- ClamAV build kini didukung pada sistem operasi Haiku yang mirip dengan BeOS.
- Clamd sekarang memeriksa keberadaan direktori sementara yang ditentukan dalam file clamd.conf melalui arahan TemporaryDirectory. Jika direktori ini tidak ada, proses akan dihentikan dengan kesalahan.
- Saat mengkonfigurasi perakitan pustaka statis di CMake, pustaka statis libclamav_rust, libclammspack, libclamunrar_iface, dan libclamunrar, yang digunakan dalam libclamav, akan diinstal.
- Deteksi tipe file untuk skrip Python yang telah dikompilasi (.pyc) telah diimplementasikan. Tipe file diteruskan sebagai parameter string CL_TYPE_PYTHON_COMPILED, yang didukung dalam fungsi clcb_pre_cache, clcb_pre_scan, dan clcb_file_inspection.
- Peningkatan dukungan untuk mendekripsi dokumen PDF dengan kata sandi kosong.
Pembaruan ClamAV 1.2.2 dan 1.0.5 dirilis secara bersamaan, memperbaiki dua kerentanan yang memengaruhi cabang 0.104, 0.105, 1.0, 1.1, dan 1.2:
- CVE-2024-20328 – Penggantian perintah selama pemindaian file di clamd dimungkinkan karena kesalahan dalam implementasi arahan "VirusEvent", yang digunakan untuk menjalankan perintah sembarangan setelah mendeteksi virus. Detail eksploitasi belum tersedia, tetapi diketahui bahwa masalah tersebut telah diatasi dengan menonaktifkan dukungan untuk parameter pemformatan string '%f' di VirusEvent, yang diganti dengan nama file yang terinfeksi.
Tampaknya, serangan tersebut melibatkan pengiriman nama khusus dari file yang terinfeksi yang berisi karakter khusus yang tidak di-escape saat menjalankan perintah yang ditentukan dalam VirusEvent. Perlu dicatat bahwa kerentanan serupa telah ditambal pada tahun 2004, juga dengan menghapus dukungan untuk substitusi '%f', yang kemudian dikembalikan di ClamAV 0.104, menyebabkan munculnya kembali kerentanan lama. Dalam kerentanan lama, menjalankan perintah selama pemindaian virus hanya memerlukan pembuatan file bernama "; mkdir owned" dan menulis tanda tangan virus uji ke dalamnya.
- CVE-2024-20290 — Kerentanan buffer overflow pada kode parsing untuk file dengan konten OLE2 dapat dieksploitasi oleh penyerang jarak jauh yang tidak terautentikasi untuk menyebabkan penolakan layanan (crash selama pemindaian). Masalah ini disebabkan oleh pemeriksaan akhir baris yang salah selama pemindaian konten, yang mengakibatkan pembacaan di luar batas.
Sumber: opennet.ru
