1.3.0 か月の開発を経て、シスコは無料のウイルス対策スイート ClamAV 2013 のリリースを公開しました。このプロジェクトは、ClamAV と Snort を開発している Sourcefire を買収した後、2 年に Cisco の手に渡りました。プロジェクト コードは GPLv1.3.0 ライセンスに基づいて配布されます。 4 ブランチは通常 (LTS ではない) として分類され、更新は次のブランチの最初のリリースから少なくとも 4 か月後に公開されます。非 LTS ブランチの署名データベースをダウンロードする機能も、次のブランチのリリース後、少なくともさらに XNUMX か月間提供されます。
ClamAV 1.3 の主な改善点:
- Microsoft OneNote ファイルで使用される添付ファイルの抽出と確認のサポートが追加されました。 OneNote の解析はデフォルトで有効になっていますが、clamd.conf で「ScanOneNote no」を設定するか、clamscan ユーティリティの実行時にコマンド ライン オプション「--scan-onenote=no」を指定するか、CL_SCAN_PARSE_ONENOTE フラグを追加することで、必要に応じて無効にすることができます。 libclamav を使用する場合の options.parse パラメーター。
- BeOS 風のオペレーティング システム Haiku での ClamAV のアセンブリが確立されました。
- TemporaryDirectory ディレクティブを介して、clamd.conf ファイルで指定された一時ファイルのディレクトリの存在を確認するチェックを clamd に追加しました。このディレクトリが存在しない場合、プロセスはエラーで終了します。
- CMake で静的ライブラリのビルドを設定する場合、libclamav で使用される静的ライブラリ libclamav_rust、libclammspack、libclamunrar_iface、および libclamunrar が確実にインストールされます。
- コンパイルされた Python スクリプト (.pyc) のファイル タイプ検出を実装しました。ファイル タイプは、clcb_pre_cache、clcb_pre_scan、および clcb_file_inspection 関数でサポートされる文字列パラメータ CL_TYPE_PYTHON_COMPILED の形式で渡されます。
- 空のパスワードを使用した PDF ドキュメントの復号化のサポートが強化されました。
同時に、ClamAV 1.2.2 および 1.0.5 アップデートが生成され、ブランチ 0.104、0.105、1.0、1.1、および 1.2 に影響を与える XNUMX つの脆弱性が修正されました。
- CVE-2024-20328 - ウイルスが検出された場合に任意のコマンドを実行するために使用される「VirusEvent」ディレクティブの実装のエラーにより、clamd でのファイル スキャン中にコマンドが置換される可能性があります。この脆弱性の悪用の詳細はまだ明らかにされていませんが、わかっていることは、感染したファイルの名前に置き換えられる VirusEvent 文字列フォーマット パラメータ '%f' のサポートを無効にすることで問題が修正されたということだけです。
どうやら、この攻撃は、VirusEvent で指定されたコマンドの実行時にエスケープできない特殊文字を含む、特別に設計された感染ファイルの名前を送信するというもののようです。同様の脆弱性が 2004 年にすでに修正されており、'%f' 置換のサポートが削除されていることは注目に値します。その後、ClamAV 0.104 のリリースで修正され、古い脆弱性の復活につながりました。古い脆弱性では、ウイルス スキャン中にコマンドを実行するには、「;」という名前のファイルを作成するだけで済みました。 mkdir owned」を選択し、そこにウイルス テスト シグネチャを書き込みます。
- CVE-2024-20290 は、OLE2 ファイル解析コードにおけるバッファ オーバーフローであり、リモートの認証されていない攻撃者がサービス拒否 (スキャン プロセスのクラッシュ) を引き起こすために使用される可能性があります。この問題は、コンテンツのスキャン中に行末チェックが正しく行われず、バッファ境界外の領域からの読み取りが行われることが原因で発生します。
出所: オープンネット.ru