Cisco ha introdotto una nuova importante versione della sua suite antivirus gratuita, ClamAV 0.105.0, e ha anche pubblicato versioni correttive di ClamAV 0.104.3 e 0.103.6 che risolvono vulnerabilità e bug. Ricordiamo che il progetto è passato nelle mani di Cisco nel 2013 dopo l'acquisto di Sourcefire, la società che sviluppa ClamAV e Snort. Il codice del progetto è distribuito sotto la licenza GPLv2.
Principali miglioramenti in ClamAV 0.105:
- Un compilatore per il linguaggio Rust è incluso nelle dipendenze di compilazione richieste. La compilazione richiede almeno Rust 1.56. Le librerie di dipendenze necessarie in Rust sono incluse nel pacchetto principale di ClamAV.
- Il codice per l'aggiornamento incrementale dell'archivio del database (CDIFF) è stato riscritto in Rust. La nuova implementazione ha permesso di velocizzare notevolmente l'applicazione degli aggiornamenti che rimuovono un gran numero di firme dal database. Questo è il primo modulo riscritto in Rust.
- I valori limite predefiniti sono stati aumentati:
- Dimensione scansione massima: 100 M > 400 M
- Dimensione massima file: 25 M > 100 M
- Lunghezza massima del flusso: 25 M > 100 M
- Dimensioni file PCREMax: 25 M > 100 M
- PE integrato massimo: 10M > 40M
- MaxHTMLNormalizza: 10M > 40M
- MaxScriptNormalizza: 5M > 20M
- MaxHTMLNoTag: 2M > 8M
- La dimensione massima della riga nei file di configurazione freshclam.conf e clamd.conf è stata aumentata da 512 a 1024 caratteri (quando si specificano i token di accesso, il parametro DatabaseMirror potrebbe superare i 512 byte).
- Per identificare le immagini utilizzate per il phishing o la distribuzione di malware, è stato implementato il supporto per un nuovo tipo di firme logiche che utilizzano il metodo di hashing fuzzy, che consente di identificare oggetti simili con un certo grado di probabilità. Per generare un hash fuzzy per un'immagine, puoi utilizzare il comando "sigtool —fuzzy-img".
- ClamScan e ClamDScan hanno funzionalità di scansione della memoria di processo integrate. Questa funzionalità è stata trasferita dal pacchetto ClamWin ed è specifica per la piattaforma Windows. Aggiunte le opzioni "--memory", "--kill" e "--unload" a ClamScan e ClamDScan sulla piattaforma Windows.
- Componenti runtime aggiornati per l'esecuzione del bytecode basato su LLVM. Per aumentare le prestazioni di scansione rispetto all'interprete bytecode predefinito, è stata proposta una modalità di compilazione JIT. Il supporto per le versioni precedenti di LLVM è stato interrotto; le versioni LLVM da 8 a 12 possono ora essere utilizzate per lavoro.
- Un'impostazione GenerateMetadataJson è stata aggiunta a Clamd, che è equivalente all'opzione "--gen-json" in clamscan e fa sì che i metadati sull'avanzamento della scansione vengano scritti nel file metadata.json in formato JSON.
- È possibile costruire utilizzando la libreria esterna TomsFastMath (libtfm), abilitata utilizzando le opzioni “-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”, “-D TomsFastMath_INCLUDE_DIR= " e "-D TomsFastMath_LIBRARY= " La copia inclusa della libreria TomsFastMath è stata aggiornata alla versione 0.13.1.
- L'utilità Freshclam ha migliorato il comportamento durante la gestione del timeout ReceiveTimeout, che ora termina solo i download congelati e non interrompe i download lenti attivi con dati trasferiti su canali di comunicazione scadenti.
- Aggiunto il supporto per la creazione di ClamdTop utilizzando la libreria ncursesw se manca ncurses.
- Vulnerabilità risolte:
- CVE-2022-20803 è un doppio file gratuito nel parser di file OLE2.
- CVE-2022-20770 Un ciclo infinito nel parser del file CHM.
- CVE-2022-20796 - Arresto anomalo dovuto a un dereferenziamento del puntatore NULL nel codice di controllo della cache.
- CVE-2022-20771 – Ciclo infinito nel parser di file TIFF.
- CVE-2022-20785 - Perdita di memoria nel parser HTML e nel normalizzatore Javascript.
- CVE-2022-20792 - Overflow del buffer nel modulo di caricamento del database delle firme.
Fonte: opennet.ru