Dopo sei mesi di sviluppo, Cisco ha pubblicato il rilascio della suite antivirus gratuita ClamAV 1.3.0. Il progetto è passato nelle mani di Cisco nel 2013 dopo aver acquistato Sourcefire, la società che sviluppa ClamAV e Snort. Il codice del progetto è distribuito sotto la licenza GPLv2. Il ramo 1.3.0 è classificato come regolare (non LTS), i cui aggiornamenti vengono pubblicati almeno 4 mesi dopo il primo rilascio del ramo successivo. È prevista anche la possibilità di scaricare il database delle firme per le filiali non LTS per almeno altri 4 mesi dopo il rilascio della filiale successiva.
Principali miglioramenti in ClamAV 1.3:
- Aggiunto supporto per l'estrazione e il controllo degli allegati utilizzati nei file Microsoft OneNote. L'analisi di OneNote è abilitata per impostazione predefinita, ma può essere disabilitata se lo si desidera impostando "ScanOneNote no" in clamd.conf, specificando l'opzione della riga di comando "--scan-onenote=no" quando si esegue l'utilità clamscan o aggiungendo il flag CL_SCAN_PARSE_ONENOTE a il parametro options.parse quando si utilizza libclamav.
- È stato stabilito l'assemblaggio di ClamAV nel sistema operativo Haiku simile a BeOS.
- Aggiunto controllo a clamd per l'esistenza della directory per i file temporanei specificata nel file clamd.conf tramite la direttiva TemporaryDirectory. Se questa directory manca, il processo termina con un errore.
- Quando si configura la compilazione delle librerie statiche in CMake, è garantita l'installazione delle librerie statiche libclamav_rust, libclammspack, libclamunrar_iface e libclamunrar, utilizzate in libclamav.
- Rilevamento del tipo di file implementato per script Python compilati (.pyc). Il tipo di file viene passato sotto forma di parametro stringa CL_TYPE_PYTHON_COMPILED, supportato nelle funzioni clcb_pre_cache, clcb_pre_scan e clcb_file_inspection.
- Supporto migliorato per la decrittografia dei documenti PDF con una password vuota.
Allo stesso tempo sono stati generati gli aggiornamenti ClamAV 1.2.2 e 1.0.5 che hanno risolto due vulnerabilità che interessavano i rami 0.104, 0.105, 1.0, 1.1 e 1.2:
- CVE-2024-20328 - Possibilità di sostituzione del comando durante la scansione dei file in clamd a causa di un errore nell'implementazione della direttiva "VirusEvent", utilizzata per eseguire un comando arbitrario se viene rilevato un virus. I dettagli sullo sfruttamento della vulnerabilità non sono ancora stati resi noti; si sa solo che il problema è stato risolto disabilitando il supporto per il parametro di formattazione della stringa '%f' di VirusEvent, che è stato sostituito con il nome del file infetto.
A quanto pare, l'attacco si riduce alla trasmissione di un nome appositamente progettato di un file infetto contenente caratteri speciali di cui non è possibile eseguire l'escape durante l'esecuzione del comando specificato in VirusEvent. È interessante notare che una vulnerabilità simile era già stata risolta nel 2004 e anche rimuovendo il supporto per la sostituzione '%f', che è stata poi ripristinata nella versione ClamAV 0.104 e ha portato alla rinascita della vecchia vulnerabilità. Nella vecchia vulnerabilità, per eseguire il comando durante una scansione antivirus, dovevi solo creare un file denominato “; mkdir di proprietà" e scrivere al suo interno la firma del test antivirus.
- CVE-2024-20290 è un overflow del buffer nel codice di analisi del file OLE2, che potrebbe essere utilizzato da un utente malintenzionato remoto non autenticato per causare un rifiuto di servizio (arresto anomalo del processo di scansione). Il problema è causato da un controllo di fine riga errato durante la scansione del contenuto, che risulta nella lettura da un'area esterna al limite del buffer.
Fonte: opennet.ru