Cisco heeft een grote nieuwe release aangekondigd van zijn gratis antiviruspakket, ClamAV 0.104.0. Laten we niet vergeten dat het project in 2013 in handen van Cisco kwam na de aankoop van Sourcefire, het bedrijf dat ClamAV en Snort ontwikkelde. De projectcode wordt gedistribueerd onder de GPLv2-licentie.
Tegelijkertijd kondigde Cisco het begin aan van de vorming van ClamAV-filialen met ondersteuning op lange termijn (LTS), waarvoor ondersteuning zal worden verleend gedurende drie jaar vanaf de datum van publicatie van de eerste release in de branche. De eerste LTS-tak zal ClamAV 0.103 zijn, updates met kwetsbaarheden en kritieke problemen zullen tot 2023 worden uitgebracht.
Updates voor reguliere niet-LTS-filialen worden nog minstens 4 maanden na de eerste release van de volgende branch gepubliceerd (updates voor de ClamAV 0.104.x branch worden bijvoorbeeld nog eens 4 maanden na de release van ClamAV 0.105.0 gepubliceerd). 4). De mogelijkheid om de handtekeningendatabase voor niet-LTS-filialen te downloaden zal ook nog minimaal XNUMX maanden na de release van het volgende filiaal worden geboden.
Een andere belangrijke verandering was de vorming van officiële installatiepakketten, waardoor je kunt updaten zonder de bronteksten opnieuw op te bouwen en zonder te wachten tot pakketten in distributies verschijnen. De pakketten zijn voorbereid voor Linux (in RPM- en DEB-formaten in versies voor x86_64- en i686-architecturen), macOS (voor x86_64 en ARM64, inclusief ondersteuning voor de Apple M1-chip) en Windows (x64 en win32). Daarnaast is de publicatie van officiële containerimages op Docker Hub begonnen (images worden zowel met als zonder ingebouwde handtekeningendatabase aangeboden). In de toekomst was ik van plan om RPM- en DEB-pakketten voor de ARM64-architectuur te publiceren en assemblages voor FreeBSD (x86_64) te posten.
Belangrijkste verbeteringen in ClamAV 0.104:
- Overgang naar het gebruik van het CMake-assemblagesysteem, waarvan de aanwezigheid nu vereist is om ClamAV te bouwen. Autotools en Visual Studio-bouwsystemen zijn stopgezet.
- De LLVM-componenten die in de distributie zijn ingebouwd, zijn verwijderd ten gunste van het gebruik van bestaande externe LLVM-bibliotheken. Voor het verwerken van handtekeningen met ingebouwde bytecode wordt tijdens runtime standaard een bytecode-interpreter gebruikt, die geen JIT-ondersteuning heeft. Als u bij het bouwen LLVM moet gebruiken in plaats van een bytecode-interpreter, moet u expliciet de paden naar de LLVM 3.6.2-bibliotheken opgeven (ondersteuning voor nieuwere releases zal naar verwachting later worden toegevoegd)
- De clamd- en freshclam-processen zijn nu beschikbaar als Windows-services. Om deze services te installeren, is de optie “--install-service” beschikbaar, en om te starten kunt u de standaardopdracht “net start [naam]” gebruiken.
- Er is een nieuwe scanoptie toegevoegd die waarschuwt voor de overdracht van beschadigde grafische bestanden, waarmee potentiële pogingen kunnen worden ondernomen om kwetsbaarheden in grafische bibliotheken te misbruiken. Formaatvalidatie is geïmplementeerd voor JPEG-, TIFF-, PNG- en GIF-bestanden en wordt ingeschakeld via de AlertBrokenMedia-instelling in clamd.conf of de opdrachtregeloptie "--alert-broken-media" in clamscan.
- Nieuwe typen CL_TYPE_TIFF en CL_TYPE_JPEG toegevoegd voor consistentie met de definitie van GIF- en PNG-bestanden. BMP- en JPEG 2000-typen worden nog steeds gedefinieerd als CL_TYPE_GRAPHICS omdat het parseren van formaten hiervoor niet wordt ondersteund.
- ClamScan heeft een visuele indicator toegevoegd van de voortgang van het laden van handtekeningen en het compileren van de engine, die wordt uitgevoerd voordat het scannen begint. De indicator wordt niet weergegeven wanneer deze van buiten de terminal wordt gestart of wanneer een van de opties “--debug”, “-quiet”, “-infected”, “-no-summary” is opgegeven.
- Om de voortgang weer te geven heeft libclamav callback-aanroepen cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() en engine free: cl_engine_set_clcb_engine_free_progress() toegevoegd, waarmee applicaties de uitvoeringstijd van de voorbereidende fasen van het laden en het compileren van handtekeningen kunnen volgen en schatten.
- Ondersteuning toegevoegd voor het tekenreeksopmaakmasker “%f” aan de VirusEvent-optie om het pad te vervangen naar het bestand waarin het virus is gedetecteerd (vergelijkbaar met het masker “%v” met de naam van het gedetecteerde virus). In VirusEvent is vergelijkbare functionaliteit ook beschikbaar via de omgevingsvariabelen $CLAM_VIRUSEVENT_FILENAME en $CLAM_VIRUSEVENT_VIRUSNAME.
- Verbeterde prestaties van de AutoIt-scriptuitpakmodule.
- Ondersteuning toegevoegd voor het extraheren van afbeeldingen uit *.xls-bestanden (Excel OLE2).
- Het is mogelijk om Authenticode-hashes te downloaden op basis van het SHA256-algoritme in de vorm van *.cat-bestanden (gebruikt om digitaal ondertekende uitvoerbare Windows-bestanden te verifiëren).
Bron: opennet.ru