Após seis meses de desenvolvimento, a Cisco lançou o pacote antivírus de código aberto ClamAV 1.3.0. A Cisco adquiriu o projeto em 2013, após a aquisição da Sourcefire, desenvolvedora do ClamAV e do Snort. O código do projeto é distribuído sob a licença GPLv2. A versão 1.3.0 é classificada como uma versão padrão (não LTS), com atualizações publicadas por pelo menos quatro meses após o primeiro lançamento da versão seguinte. Os downloads do banco de dados de assinaturas para versões não LTS também estão disponíveis por pelo menos quatro meses após o lançamento da versão seguinte.
Principais melhorias no ClamAV 1.3:
- Adicionado suporte para extrair e verificar anexos usados em arquivos do Microsoft OneNote. A análise do formato OneNote está habilitada por padrão, mas pode ser desabilitada definindo "ScanOneNote no" em clamd.conf, especificando a opção de linha de comando "--scan-onenote=no" ao executar clamscan ou adicionando o sinalizador CL_SCAN_PARSE_ONENOTE ao parâmetro options.parse ao usar a libclamav.
- A compilação do ClamAV agora é compatível com o sistema operacional Haiku, semelhante ao BeOS.
- O Clamd agora verifica a existência do diretório temporário especificado no arquivo clamd.conf através da diretiva TemporaryDirectory. Se este diretório não existir, o processo será encerrado com um erro.
- Ao configurar a compilação de bibliotecas estáticas no CMake, as bibliotecas estáticas libclamav_rust, libclammspack, libclamunrar_iface e libclamunrar, usadas no pacote libclamav, são instaladas.
- Foi implementada a detecção do tipo de arquivo para scripts Python compilados (.pyc). O tipo de arquivo é passado como o parâmetro de string CL_TYPE_PYTHON_COMPILED, compatível com as funções clcb_pre_cache, clcb_pre_scan e clcb_file_inspection.
- Melhoria no suporte para descriptografar documentos PDF com senha em branco.
As atualizações ClamAV 1.2.2 e 1.0.5 foram lançadas simultaneamente, corrigindo duas vulnerabilidades que afetavam as versões 0.104, 0.105, 1.0, 1.1 e 1.2:
- CVE-2024-20328 – A substituição de comandos durante a verificação de arquivos no clamd é possível devido a um erro na implementação da diretiva "VirusEvent", usada para executar um comando arbitrário ao detectar um vírus. Detalhes sobre a exploração ainda não estão disponíveis, mas sabe-se que o problema foi resolvido desativando o suporte ao parâmetro de formatação de string '%f' em VirusEvent, que foi substituído pelo nome do arquivo infectado.
Aparentemente, o ataque envolve o envio de um nome especialmente criado para um arquivo infectado, contendo caracteres especiais que não são escapados ao executar o comando especificado no VirusEvent. Vale ressaltar que uma vulnerabilidade semelhante foi corrigida em 2004, também com a remoção do suporte à substituição '%f', que foi posteriormente reinstaurada no ClamAV 0.104, levando ao ressurgimento da antiga vulnerabilidade. Na antiga vulnerabilidade, executar um comando durante uma verificação de vírus exigia simplesmente a criação de um arquivo chamado "; mkdir owned" e a gravação de uma assinatura de vírus de teste nele.
- CVE-2024-20290 — Uma vulnerabilidade de estouro de buffer no código de análise de arquivos com conteúdo OLE2 pode ser explorada por um atacante remoto não autenticado para causar uma negação de serviço (travamentos durante a varredura). O problema é causado por uma verificação incorreta de fim de linha durante a varredura de conteúdo, levando a uma leitura fora dos limites.
Fonte: opennet.ru
