Cisco는 ClamAV 1.3.0 바이러스 백신 패키지를 출시하고 위험한 취약점을 수정했습니다.

1.3.0개월 간의 개발 끝에 Cisco는 무료 바이러스 백신 제품군 ClamAV 2013의 출시를 발표했습니다. 이 프로젝트는 ClamAV 및 Snort를 개발하는 회사인 Sourcefire를 인수한 후 2년 Cisco의 손에 넘어갔습니다. 프로젝트 코드는 GPLv1.3.0 라이센스에 따라 배포됩니다. 4 브랜치는 일반(LTS 아님)으로 분류되며 업데이트는 다음 브랜치가 처음 릴리스된 후 최소 4개월 후에 게시됩니다. LTS가 아닌 브랜치에 대한 시그니처 데이터베이스를 다운로드하는 기능도 다음 브랜치 출시 후 최소 XNUMX개월 동안 제공됩니다.

ClamAV 1.3의 주요 개선 사항:

• Microsoft OneNote 파일에 사용되는 첨부 파일 추출 및 확인에 대한 지원이 추가되었습니다. OneNote 구문 분석은 기본적으로 활성화되어 있지만 원하는 경우 clamd.conf에서 "ScanOneNote no"를 설정하거나 clamscan 유틸리티를 실행할 때 명령줄 옵션 "--scan-onenote=no"를 지정하거나 CL_SCAN_PARSE_ONENOTE 플래그를 추가하여 비활성화할 수 있습니다. libclamav를 사용할 때 options.parse 매개변수.
• BeOS와 유사한 운영 체제 Haiku에서 ClamAV의 어셈블리가 확립되었습니다.
• TemporaryDirectory 지시어를 통해 clamd.conf 파일에 지정된 임시 파일에 대한 디렉터리가 있는지 clamd에 검사가 추가되었습니다. 이 디렉터리가 없으면 이제 프로세스가 오류와 함께 종료됩니다.
• CMake에서 정적 라이브러리 빌드를 설정할 때 libclamav에서 사용되는 정적 라이브러리 libclamav_rust, libclammspack, libclamunrar_iface 및 libclamunrar의 설치가 보장됩니다.
• 컴파일된 Python 스크립트(.pyc)에 대한 파일 형식 감지를 구현했습니다. 파일 유형은 clcb_pre_cache, clcb_pre_scan 및 clcb_file_inspection 함수에서 지원되는 문자열 매개변수 CL_TYPE_PYTHON_COMPILED의 형식으로 전달됩니다.
• 빈 비밀번호를 사용하여 PDF 문서를 해독하는 지원이 향상되었습니다.

동시에 ClamAV 1.2.2 및 1.0.5 업데이트가 생성되어 분기 0.104, 0.105, 1.0, 1.1 및 1.2에 영향을 미치는 두 가지 취약점을 수정했습니다.

• CVE-2024-20328 - 바이러스가 발견된 경우 임의 명령을 실행하는 데 사용되는 "VirusEvent" 지시어 구현 오류로 인해 clamd에서 파일을 검색하는 동안 명령 대체 가능성이 있습니다. 취약점 악용에 대한 자세한 내용은 아직 공개되지 않았으며, 알려진 것은 VirusEvent 문자열 형식 매개변수 '%f'에 대한 지원을 비활성화하여 문제가 해결되었다는 것뿐입니다. 이 매개변수는 감염된 파일 이름으로 대체되었습니다.

  분명히 공격은 VirusEvent에 지정된 명령을 실행할 때 벗어날 수 없는 특수 문자가 포함된 감염된 파일의 특별히 설계된 이름을 전송하는 것으로 요약됩니다. 유사한 취약점이 2004년에 이미 수정되었으며 '%f' 대체에 대한 지원을 제거하여 ClamAV 0.104 릴리스에서 반환되어 이전 취약점이 부활했다는 점은 주목할 만합니다. 이전 취약점에서는 바이러스 검사 중에 명령을 실행하려면 “; mkdir 소유"를 입력하고 여기에 바이러스 테스트 서명을 작성합니다.

• CVE-2024-20290은 OLE2 파일 구문 분석 코드의 버퍼 오버플로로, 인증되지 않은 원격 공격자가 서비스 거부(스캐닝 프로세스 충돌)를 유발하는 데 사용할 수 있습니다. 이 문제는 콘텐츠 스캔 중 잘못된 줄 끝 확인으로 인해 발생하며, 이로 인해 버퍼 경계 외부 영역에서 읽게 됩니다.

출처 : opennet.ru