По шест месеци развој, Cisco го објави објавувањето на бесплатниот антивирусен пакет ClamAV 1.3.0. Проектот премина во рацете на Cisco во 2013 година по купувањето на Sourcefire, компанија која ги развива ClamAV и Snort. Проектниот код се дистрибуира под лиценцата GPLv2. Филијалата 1.3.0 е класифицирана како редовна (не LTS), чии ажурирања се објавуваат најмалку 4 месеци по првото издание на следната гранка. Можноста за преземање на базата на податоци за потписи за гранки што не се LTS е исто така обезбедена најмалку уште 4 месеци по објавувањето на следната гранка.
Клучни подобрувања во ClamAV 1.3:
- Додадена е поддршка за извлекување и проверка на прилозите што се користат во датотеките на Microsoft OneNote. Парсирањето на OneNote е стандардно овозможено, но може да се оневозможи ако сакате со поставување „ScanOneNote бр“ во clamd.conf, наведувајќи ја опцијата за командната линија „--scan-onenote=no“ кога ја извршувате алатката clamscan или додавајќи го знамето CL_SCAN_PARSE_ONENOTE на опциите.параметарот на анализа при користење на libclamav.
- Воспоставено е склопување на ClamAV во оперативниот систем Haiku сличен на BeOS.
- Додадена е проверка во clamd за постоење на директориум за привремени датотеки наведени во датотеката clamd.conf преку директивата TemporaryDirectory. Ако овој директориум недостасува, процесот сега излегува со грешка.
- При поставување на изградбата на статични библиотеки во CMake, се обезбедува инсталација на статичните библиотеки libclamav_rust, libclammspack, libclamunrar_iface и libclamunrar, користени во libclamav.
- Спроведено откривање тип на датотека за компајлирани скрипти на Python (.pyc). Типот на датотека се пренесува во форма на параметарот низа CL_TYPE_PYTHON_COMPILED, поддржан во функциите clcb_pre_cache, clcb_pre_scan и clcb_file_inspection.
- Подобрена поддршка за дешифрирање PDF документи со празна лозинка.
Во исто време, беа генерирани ажурирања на ClamAV 1.2.2 и 1.0.5, кои поправаа две пропусти што ги засегаат гранките 0.104, 0.105, 1.0, 1.1 и 1.2:
- CVE-2024-20328 - Можност за замена на командата при скенирање на датотеки во clamd поради грешка во имплементацијата на директивата „VirusEvent“, која се користи за извршување на произволна команда доколку се открие вирус. Деталите за експлоатацијата на ранливоста сè уште не се откриени; се знае само дека проблемот е поправен со оневозможување на поддршката за параметарот за форматирање низа „%f“ во VirusEvent, кој беше заменет со името на заразената датотека.
Очигледно, нападот се сведува на пренос на специјално дизајнирано име на заразена датотека што содржи специјални знаци од кои не може да се избега при извршување на командата наведена во VirusEvent. Вреди да се одбележи дека слична ранливост веќе беше поправена во 2004 година, а исто така и со отстранување на поддршката за замената „%f“, која потоа беше вратена во објавувањето на ClamAV 0.104 и доведе до оживување на старата ранливост. Во старата ранливост, за да ја извршите вашата команда за време на скенирање на вируси, требаше само да креирате датотека со име „; mkdir сопственост“ и напишете го потписот на тестот за вирус во него.
- CVE-2024-20290 е прелевање на баферот во кодот за парсирање на датотеката OLE2, кој може да се користи од далечински неавтентификуван напаѓач за да предизвика одбивање на услугата (пад на процесот на скенирање). Проблемот е предизвикан од неправилна проверка на крајот на линијата за време на скенирањето на содржината, што резултира со читање од област надвор од границата на баферот.
Извор: opennet.ru