Firma Cisco ogłosiła wydanie nowej, dużej wersji swojego bezpłatnego pakietu antywirusowego ClamAV 0.104.0. Przypomnijmy, że projekt przeszedł w ręce Cisco w 2013 roku po zakupie Sourcefire, firmy rozwijającej ClamAV i Snort. Kod projektu jest rozpowszechniany na licencji GPLv2.
Jednocześnie Cisco ogłosiło rozpoczęcie tworzenia oddziałów ClamAV long term support (LTS), które będą wspierane przez trzy lata od daty publikacji pierwszego wydania w oddziale. Pierwszą gałęzią LTS będzie ClamAV 0.103, aktualizacje zawierające luki i problemy krytyczne będą wydawane do 2023 roku.
Aktualizacje dla zwykłych oddziałów innych niż LTS będą publikowane przez co najmniej kolejne 4 miesiące po pierwszym wydaniu kolejnego oddziału (przykładowo aktualizacje dla oddziału ClamAV 0.104.x będą publikowane przez kolejne 4 miesiące po wydaniu ClamAV 0.105.0. 4). Możliwość pobrania bazy sygnatur dla oddziałów non-LTS zostanie udostępniona także przez co najmniej kolejne XNUMX miesiące od premiery kolejnego oddziału.
Kolejną znaczącą zmianą było utworzenie oficjalnych pakietów instalacyjnych, pozwalających na aktualizację bez przebudowywania z tekstów źródłowych i bez czekania na pojawienie się pakietów w dystrybucjach. Pakiety przygotowane są dla systemu Linux (w formatach RPM i DEB w wersjach dla architektur x86_64 oraz i686), macOS (dla x86_64 i ARM64, w tym obsługa chipa Apple M1) oraz Windows (x64 i win32). Ponadto rozpoczęła się publikacja oficjalnych obrazów kontenerów w Docker Hub (obrazy oferowane są zarówno z wbudowaną bazą sygnatur, jak i bez niej). W przyszłości planowałem opublikować pakiety RPM i DEB dla architektury ARM64 oraz postasemblery dla FreeBSD (x86_64).
Kluczowe ulepszenia w ClamAV 0.104:
- Przejście na korzystanie z systemu montażowego CMake, którego obecność jest obecnie wymagana do zbudowania ClamAV. Narzędzia Autotools i systemy kompilacji Visual Studio zostały wycofane.
- Komponenty LLVM wbudowane w dystrybucję zostały usunięte na rzecz wykorzystania istniejących zewnętrznych bibliotek LLVM. W czasie wykonywania do przetwarzania podpisów z wbudowanym kodem bajtowym domyślnie używany jest interpreter kodu bajtowego, który nie obsługuje JIT. Jeśli podczas budowania chcesz używać LLVM zamiast interpretera kodu bajtowego, musisz jawnie określić ścieżki do bibliotek LLVM 3.6.2 (obsługa nowszych wersji zostanie dodana później)
- Procesy clamd i Freshclam są teraz dostępne jako usługi systemu Windows. Aby zainstalować te usługi, dostępna jest opcja „--install-service”, a do uruchomienia można użyć standardowego polecenia „net start [nazwa]”.
- Dodana została nowa opcja skanowania, która ostrzega o przeniesieniu uszkodzonych plików graficznych, dzięki czemu mogą zostać podjęte potencjalne próby wykorzystania luk w bibliotekach graficznych. Sprawdzanie poprawności formatu jest realizowane dla plików JPEG, TIFF, PNG i GIF i jest włączane poprzez ustawienie AlertBrokenMedia w clamd.conf lub opcję wiersza poleceń „--alert-broken-media” w clamscan.
- Dodano nowe typy CL_TYPE_TIFF i CL_TYPE_JPEG w celu zapewnienia spójności z definicją plików GIF i PNG. Typy BMP i JPEG 2000 są nadal definiowane jako CL_TYPE_GRAPHICS, ponieważ analizowanie formatów nie jest dla nich obsługiwane.
- ClamScan dodał wizualny wskaźnik postępu ładowania podpisu i kompilacji silnika, który jest wykonywany przed rozpoczęciem skanowania. Wskaźnik nie jest wyświetlany w przypadku uruchomienia spoza terminala lub gdy określono jedną z opcji „--debug”, „-quiet”, „-infected”, „-no-summary”.
- Aby wyświetlić postęp, libclamav dodała wywołania zwrotne cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() i wolne od silnika: cl_engine_set_clcb_engine_free_progress(), dzięki którym aplikacje mogą śledzić i szacować czas wykonania wstępnych etapów ładowania i kompilacji podpisu.
- Dodano obsługę maski formatowania ciągu „%f” do opcji VirusEvent w celu zastąpienia ścieżki do pliku, w którym wykryto wirusa (podobnie jak maska „%v” z nazwą wykrytego wirusa). W VirusEvent podobna funkcjonalność jest również dostępna za pośrednictwem zmiennych środowiskowych $CLAM_VIRUSEVENT_FILENAME i $CLAM_VIRUSEVENT_VIRUSNAME.
- Poprawiona wydajność modułu rozpakowywania skryptów AutoIt.
- Dodano obsługę wyodrębniania obrazów z plików *.xls (Excel OLE2).
- Możliwe jest pobranie skrótów Authenticode opartych na algorytmie SHA256 w postaci plików *.cat (służących do weryfikacji podpisanych cyfrowo plików wykonywalnych Windows).
Źródło: opennet.ru