După șase luni de dezvoltare, Cisco a publicat lansarea suitei antivirus gratuite ClamAV 1.3.0. Proiectul a trecut în mâinile Cisco în 2013, după achiziționarea Sourcefire, compania care dezvoltă ClamAV și Snort. Codul proiectului este distribuit sub licența GPLv2. Ramura 1.3.0 este clasificată ca obișnuită (nu LTS), actualizări ale cărora sunt publicate la cel puțin 4 luni de la prima lansare a următoarei ramuri. Posibilitatea de a descărca baza de date de semnături pentru sucursalele non-LTS este, de asemenea, oferită pentru cel puțin încă 4 luni de la lansarea următoarei sucursale.
Îmbunătățiri cheie în ClamAV 1.3:
- S-a adăugat suport pentru extragerea și verificarea atașamentelor utilizate în fișierele Microsoft OneNote. Analiza OneNote este activată în mod implicit, dar poate fi dezactivată dacă se dorește setând „ScanOneNote no” în clamd.conf, specificând opțiunea de linie de comandă „--scan-onenote=no” atunci când rulează utilitarul clamscan sau adăugând indicatorul CL_SCAN_PARSE_ONENOTE la parametrul options.parse când se utilizează libclamav.
- A fost stabilit asamblarea ClamAV în sistemul de operare Haiku asemănător BeOS.
- S-a adăugat verificare la clamd pentru existența directorului pentru fișierele temporare specificate în fișierul clamd.conf prin directiva TemporaryDirectory. Dacă acest director lipsește, procesul se încheie acum cu o eroare.
- Când configurați construirea bibliotecilor statice în CMake, este asigurată instalarea bibliotecilor statice libclamav_rust, libclammspack, libclamunrar_iface și libclamunrar, utilizate în libclamav.
- S-a implementat detectarea tipului de fișier pentru scripturile Python compilate (.pyc). Tipul de fișier este transmis sub forma parametrului șir CL_TYPE_PYTHON_COMPILED, suportat în funcțiile clcb_pre_cache, clcb_pre_scan și clcb_file_inspection.
- Suport îmbunătățit pentru decriptarea documentelor PDF cu o parolă goală.
În același timp, au fost generate actualizări ClamAV 1.2.2 și 1.0.5, care au remediat două vulnerabilități care afectau ramurile 0.104, 0.105, 1.0, 1.1 și 1.2:
- CVE-2024-20328 - Posibilitatea înlocuirii comenzii în timpul scanării fișierelor în clamd din cauza unei erori în implementarea directivei „VirusEvent”, folosită pentru a rula o comandă arbitrară dacă este detectat un virus. Detaliile despre exploatarea vulnerabilității nu au fost încă dezvăluite; tot ceea ce se știe este că problema a fost remediată prin dezactivarea suportului pentru parametrul de formatare a șirului de caractere VirusEvent „%f”, care a fost înlocuit cu numele fișierului infectat.
Aparent, atacul se rezumă la transmiterea unui nume special conceput al unui fișier infectat care conține caractere speciale care nu pot fi scăpate atunci când rulează comanda specificată în VirusEvent. Este de remarcat faptul că o vulnerabilitate similară a fost deja remediată în 2004 și, de asemenea, prin eliminarea suportului pentru înlocuirea „%f”, care a fost apoi returnată în lansarea ClamAV 0.104 și a dus la renașterea vechii vulnerabilități. În vechea vulnerabilitate, pentru a vă executa comanda în timpul unei scanări antivirus, trebuia doar să creați un fișier numit „; mkdir deținut" și scrieți semnătura de testare a virusului în el.
- CVE-2024-20290 este o depășire a memoriei tampon în codul de analiză a fișierului OLE2, care ar putea fi folosit de un atacator de la distanță neautentificat pentru a provoca o refuzare a serviciului (crash a procesului de scanare). Problema este cauzată de verificarea incorectă de final de linie în timpul scanării conținutului, care are ca rezultat citirea dintr-o zonă din afara limitei tamponului.
Sursa: opennet.ru