Na zes maanden ontwikkeling heeft Cisco de gratis antivirussuite ClamAV 1.3.0 uitgebracht. Het project werd in 2013 overgenomen door Cisco, nadat het Sourcefire had overgenomen, het bedrijf dat ClamAV en Snort ontwikkelde. De projectcode wordt gedistribueerd onder de GPLv2-licentie. Branch 1.3.0 is geclassificeerd als een reguliere (geen LTS) branch, waarbij updates minimaal 4 maanden na de eerste release van de volgende branch worden gepubliceerd. De mogelijkheid om de handtekeningendatabase voor niet-LTS-branches te downloaden blijft ook nog minimaal 4 maanden beschikbaar na de release van de volgende branche.
Belangrijkste verbeteringen in ClamAV 1.3:
- Ondersteuning toegevoegd voor het extraheren en inspecteren van bijlagen in Microsoft OneNote-bestanden. Het parseren van de OneNote-indeling is standaard ingeschakeld, maar kan optioneel worden uitgeschakeld door "ScanOneNote no" in clamd.conf in te stellen, de opdrachtregeloptie "--scan-onenote=no" op te geven tijdens het uitvoeren van clamscan, of de vlag CL_SCAN_PARSE_ONENOTE toe te voegen aan options.parse bij gebruik van libclamav.
- ClamAV is gebouwd in het BeOS-achtige Haiku-besturingssysteem.
- Clamd controleert nu via de TemporaryDirectory-richtlijn op het bestaan van een tijdelijke map die is opgegeven in het bestand clamd.conf. Als deze map niet bestaat, wordt het proces beëindigd met een foutmelding.
- Bij het configureren van de assemblage van statische bibliotheken in CMake is de installatie van de statische bibliotheken libclamav_rust, libclammspack, libclamunrar_iface en libclamunrar, die in libclamav worden gebruikt, verzekerd.
- Detectie van bestandstype geïmplementeerd voor gecompileerde Python-scripts (.pyc). Het bestandstype wordt doorgegeven als een tekenreeksparameter CL_TYPE_PYTHON_COMPILED, ondersteund in de functies clcb_pre_cache, clcb_pre_scan en clcb_file_inspection.
- Verbeterde ondersteuning voor het decoderen van PDF-documenten met lege wachtwoorden.
Tegelijkertijd zijn de updates ClamAV 1.2.2 en 1.0.5 uitgebracht, waarin twee kwetsbaarheden zijn opgelost die betrekking hebben op branches 0.104, 0.105, 1.0, 1.1 en 1.2:
- CVE-2024-20328 — Mogelijkheid tot commandovervanging tijdens bestandscontrole in clamd vanwege een fout in de implementatie van de "VirusEvent"-richtlijn, die gebruikt wordt om een willekeurig commando uit te voeren in geval van een virusdetectie. Details over de exploitatie van de kwetsbaarheid zijn nog niet bekendgemaakt; het is alleen bekend dat het probleem is opgelost door de ondersteuning in VirusEvent voor de tekenreeksopmaakparameter '%f' uit te schakelen, die vervangen werd door de naam van het geïnfecteerde bestand.
Blijkbaar komt de aanval neer op het doorgeven van een speciaal geformatteerde naam van een geïnfecteerd bestand met speciale tekens die niet worden geëscapete bij het uitvoeren van de opdracht die in VirusEvent is opgegeven. Het is opmerkelijk dat een vergelijkbare kwetsbaarheid al in 2004 werd verholpen, ook door de ondersteuning voor de '%f'-substitutie te verwijderen. Deze werd vervolgens teruggebracht in de release van ClamAV 0.104 en leidde tot de heropleving van de oude kwetsbaarheid. Om uw opdracht tijdens een virusscan uit te voeren, was het bij de oude kwetsbaarheid voldoende om een bestand met de naam "; mkdir owned" aan te maken en er een testvirushandtekening naar te schrijven.
- CVE-2024-20290 - Een bufferoverloop in de parseercode voor bestanden met OLE2-inhoud kan door een externe, niet-geverifieerde aanvaller worden gebruikt om een denial-of-service (crash van het scanproces) te veroorzaken. Het probleem wordt veroorzaakt door een onjuiste end-of-line-controle tijdens het scannen van de inhoud, wat leidt tot een out-of-bounds-lezing.
Bron: opennet.ru
