Cisco heeft een belangrijke nieuwe release van zijn gratis antiviruspakket, ClamAV 0.105.0, geïntroduceerd en ook corrigerende releases van ClamAV 0.104.3 en 0.103.6 gepubliceerd die kwetsbaarheden en bugs verhelpen. Laten we niet vergeten dat het project in 2013 in handen van Cisco kwam na de aankoop van Sourcefire, het bedrijf dat ClamAV en Snort ontwikkelde. De projectcode wordt gedistribueerd onder de GPLv2-licentie.
Belangrijkste verbeteringen in ClamAV 0.105:
- Een compiler voor de Rust-taal is opgenomen in de vereiste build-afhankelijkheden. Build vereist minimaal Rust 1.56. De noodzakelijke afhankelijkheidsbibliotheken in Rust zijn opgenomen in het hoofdpakket van ClamAV.
- De code voor het incrementeel bijwerken van het databasearchief (CDIFF) is herschreven in Rust. De nieuwe implementatie heeft het mogelijk gemaakt om de toepassing van updates die een groot aantal handtekeningen uit de database verwijderen aanzienlijk te versnellen. Dit is de eerste module die in Rust is herschreven.
- De standaard grenswaarden zijn verhoogd:
- MaxScangrootte: 100M > 400M
- Maximale bestandsgrootte: 25M > 100M
- StreamMaxLengte: 25M > 100M
- PCREMaxBestandsgrootte: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormaliseren: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- De maximale regelgrootte in de configuratiebestanden freshclam.conf en clamd.conf is verhoogd van 512 naar 1024 tekens (bij het opgeven van toegangstokens kan de parameter DatabaseMirror groter zijn dan 512 bytes).
- Om afbeeldingen te identificeren die worden gebruikt voor de verspreiding van phishing of malware, is ondersteuning geïmplementeerd voor een nieuw type logische handtekeningen die gebruik maken van de fuzzy hashing-methode, waarmee vergelijkbare objecten met een bepaalde mate van waarschijnlijkheid kunnen worden geïdentificeerd. Om een fuzzy hash voor een afbeelding te genereren, kun je het commando “sigtool —fuzzy-img” gebruiken.
- ClamScan en ClamDScan hebben ingebouwde scanmogelijkheden voor procesgeheugen. Deze functie is overgebracht van het ClamWin-pakket en is specifiek voor het Windows-platform. Opties "--memory", "--kill" en "--unload" toegevoegd aan ClamScan en ClamDScan op het Windows-platform.
- Bijgewerkte runtimecomponenten voor het uitvoeren van bytecode op basis van LLVM. Om de scanprestaties te verbeteren in vergelijking met de standaard bytecode-interpreter, is een JIT-compilatiemodus voorgesteld. Ondersteuning voor oudere versies van LLVM is stopgezet; LLVM-versies 8 tot en met 12 kunnen nu voor werk worden gebruikt.
- Er is een GenerateMetadataJson-instelling toegevoegd aan Clamd, die equivalent is aan de “--gen-json”-optie in clamscan en ervoor zorgt dat metagegevens over de scanvoortgang in JSON-indeling naar het metadata.json-bestand worden geschreven.
- Het is mogelijk om te bouwen met behulp van de externe bibliotheek TomsFastMath (libtfm), ingeschakeld met behulp van de opties “-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”, “-D TomsFastMath_INCLUDE_DIR= " en "-D TomsFastMath_LIBRARY= " Het meegeleverde exemplaar van de TomsFastMath-bibliotheek is bijgewerkt naar versie 0.13.1.
- Het Freshclam-hulpprogramma heeft een verbeterd gedrag bij het omgaan met de ontvangsttime-outtime-out, waardoor nu alleen bevroren downloads worden beëindigd en actieve langzame downloads niet worden onderbroken wanneer gegevens worden overgedragen via slechte communicatiekanalen.
- Ondersteuning toegevoegd voor het bouwen van ClamdTop met behulp van de ncursesw-bibliotheek als ncurses ontbreekt.
- Kwetsbaarheden opgelost:
- CVE-2022-20803 is een dubbele gratis in de OLE2-bestandsparser.
- CVE-2022-20770 Een oneindige lus in de CHM-bestandsparser.
- CVE-2022-20796 - Crash als gevolg van een NULL pointer-dereferentie in de cachecontrolecode.
- CVE-2022-20771 – Oneindige lus in de TIFF-bestandsparser.
- CVE-2022-20785 - Geheugenlek in de HTML-parser en JavaScript-normalisator.
- CVE-2022-20792 - Bufferoverloop in de laadmodule van de handtekeningdatabase.
Bron: opennet.ru