Po sześciu miesiącach prac firma Cisco opublikowała wersję darmowego pakietu antywirusowego ClamAV 1.3.0. Projekt przeszedł w ręce Cisco w 2013 roku po zakupie Sourcefire, firmy rozwijającej ClamAV i Snort. Kod projektu jest rozpowszechniany na licencji GPLv2. Gałąź 1.3.0 klasyfikowana jest jako zwykła (nie LTS), której aktualizacje publikowane są co najmniej 4 miesiące po pierwszym wydaniu kolejnej gałęzi. Możliwość pobrania bazy sygnatur dla oddziałów innych niż LTS przewidziana jest także przez co najmniej kolejne 4 miesiące po wydaniu kolejnego oddziału.
Kluczowe ulepszenia w ClamAV 1.3:
- Dodano obsługę wyodrębniania i sprawdzania załączników używanych w plikach Microsoft OneNote. Analizowanie programu OneNote jest domyślnie włączone, ale w razie potrzeby można je wyłączyć, ustawiając opcję „ScanOneNote no” w pliku clamd.conf, określając opcję wiersza poleceń „--scan-onenote=no” podczas uruchamiania narzędzia Clamscan lub dodając flagę CL_SCAN_PARSE_ONENOTE do parametr options.parse podczas korzystania z biblioteki libclamav.
- Rozpoczęto montaż ClamAV w systemie operacyjnym podobnym do BeOS Haiku.
- Dodano sprawdzenie do clamd istnienia katalogu dla plików tymczasowych określonych w pliku clamd.conf poprzez dyrektywę TemporaryDirectory. Jeśli brakuje tego katalogu, proces kończy się teraz z błędem.
- Podczas konfigurowania kompilacji bibliotek statycznych w CMake zapewniona jest instalacja bibliotek statycznych libclamav_rust, libclammspack, libclamunrar_iface i libclamunrar używanych w libclamav.
- Zaimplementowano wykrywanie typu pliku dla skompilowanych skryptów Pythona (.pyc). Typ pliku jest przekazywany w postaci parametru łańcuchowego CL_TYPE_PYTHON_COMPILED, obsługiwanego przez funkcje clcb_pre_cache, clcb_pre_scan i clcb_file_inspection.
- Ulepszona obsługa odszyfrowywania dokumentów PDF przy użyciu pustego hasła.
W tym samym czasie wygenerowano aktualizacje ClamAV 1.2.2 i 1.0.5, które naprawiły dwie luki wpływające na gałęzie 0.104, 0.105, 1.0, 1.1 i 1.2:
- CVE-2024-20328 - Możliwość podmiany poleceń podczas skanowania plików w clamd ze względu na błąd w implementacji dyrektywy "VirusEvent", służącej do uruchomienia dowolnego polecenia w przypadku wykrycia wirusa. Szczegóły wykorzystania luki nie zostały jeszcze ujawnione; wiadomo jedynie, że problem został naprawiony poprzez wyłączenie obsługi parametru formatowania ciągu „%f” w VirusEvent, który został zastąpiony nazwą zainfekowanego pliku.
Najwyraźniej atak sprowadza się do przesłania specjalnie zaprojektowanej nazwy zainfekowanego pliku zawierającej znaki specjalne, których nie można zmienić podczas uruchamiania polecenia określonego w VirusEvent. Warto zauważyć, że podobną lukę naprawiono już w 2004 roku, a także usunięto obsługę podstawienia „%f”, które następnie zostało przywrócone w wydaniu ClamAV 0.104 i doprowadziło do ożywienia starej luki. W przypadku starej luki, aby wykonać polecenie podczas skanowania antywirusowego, wystarczyło utworzyć plik o nazwie „; mkdir own” i wpisz w nim sygnaturę testu antywirusowego.
- CVE-2024-20290 to przepełnienie bufora w kodzie analizującym plik OLE2, które może zostać wykorzystane przez zdalnego nieuwierzytelnionego atakującego w celu spowodowania odmowy usługi (awarii procesu skanowania). Problem jest spowodowany nieprawidłowym sprawdzaniem końca linii podczas skanowania zawartości, co skutkuje odczytem z obszaru poza granicą bufora.
Źródło: opennet.ru