Cisco a anunțat o nouă lansare majoră a suitei sale antivirus gratuite, ClamAV 0.104.0. Să reamintim că proiectul a trecut în mâinile Cisco în 2013 după achiziționarea Sourcefire, compania care dezvoltă ClamAV și Snort. Codul proiectului este distribuit sub licența GPLv2.
În același timp, Cisco a anunțat începutul formării filialelor ClamAV Long Term Support (LTS), care vor fi susținute timp de trei ani de la data publicării primei versiuni în ramură. Prima ramură LTS va fi ClamAV 0.103, actualizările cu vulnerabilități și probleme critice vor fi lansate până în 2023.
Actualizările pentru ramurile obișnuite non-LTS vor fi publicate timp de cel puțin încă 4 luni după prima lansare a următoarei ramuri (de exemplu, actualizările pentru ramurile ClamAV 0.104.x vor fi publicate pentru încă 4 luni după lansarea ClamAV 0.105.0. 4). Posibilitatea de a descărca baza de date de semnături pentru sucursalele non-LTS va fi oferită și pentru cel puțin încă XNUMX luni de la lansarea următoarei sucursale.
O altă schimbare semnificativă a fost formarea pachetelor oficiale de instalare, permițându-vă să actualizați fără a reconstrui din textele sursă și fără a aștepta ca pachetele să apară în distribuții. Pachetele sunt pregătite pentru Linux (în formatele RPM și DEB în versiuni pentru arhitecturi x86_64 și i686), macOS (pentru x86_64 și ARM64, inclusiv suport pentru cipul Apple M1) și Windows (x64 și win32). În plus, a început publicarea imaginilor oficiale ale containerelor pe Docker Hub (imaginile sunt oferite atât cu, cât și fără o bază de date de semnături încorporată). În viitor, am plănuit să public pachete RPM și DEB pentru arhitectura ARM64 și post ansambluri pentru FreeBSD (x86_64).
Îmbunătățiri cheie în ClamAV 0.104:
- Trecerea la utilizarea sistemului de asamblare CMake, a cărui prezență este acum necesară pentru a construi ClamAV. Sistemele de construcție Autotools și Visual Studio au fost întrerupte.
- Componentele LLVM încorporate în distribuție au fost eliminate în favoarea utilizării bibliotecilor externe LLVM existente. În timpul rulării, pentru a procesa semnăturile cu cod de octet încorporat, se folosește implicit un interpret de cod de octet, care nu are suport JIT. Dacă trebuie să utilizați LLVM în loc de un interpret de cod de octet atunci când construiți, trebuie să specificați în mod explicit căile către bibliotecile LLVM 3.6.2 (suportul pentru versiunile mai noi este planificat să fie adăugat ulterior)
- Procesele clamd și freshclam sunt acum disponibile ca servicii Windows. Pentru a instala aceste servicii, este furnizată opțiunea „--install-service”, iar pentru a porni puteți utiliza comanda standard „net start [nume]”.
- A fost adăugată o nouă opțiune de scanare care avertizează despre transferul fișierelor grafice deteriorate, prin care pot fi făcute potențiale încercări de exploatare a vulnerabilităților din bibliotecile grafice. Validarea formatului este implementată pentru fișierele JPEG, TIFF, PNG și GIF și este activată prin setarea AlertBrokenMedia din clamd.conf sau opțiunea de linie de comandă „--alert-broken-media” din clamscan.
- S-au adăugat noi tipuri CL_TYPE_TIFF și CL_TYPE_JPEG pentru coerență cu definiția fișierelor GIF și PNG. Tipurile BMP și JPEG 2000 continuă să fie definite ca CL_TYPE_GRAPHICS, deoarece analizarea formatului nu este acceptată pentru ele.
- ClamScan a adăugat un indicator vizual al progresului încărcării semnăturilor și al compilarii motorului, care se efectuează înainte de începerea scanării. Indicatorul nu este afișat când este lansat din afara terminalului sau când este specificată una dintre opțiunile „--debug”, „-quiet”, „-infected”, „-no-summary”.
- Pentru a afișa progresul, libclamav a adăugat apeluri de apel cl_engine_set_clcb_sigload_progress(), cl_engine_set_clcb_engine_compile_progress() și motor free: cl_engine_set_clcb_engine_free_progress(), cu ajutorul cărora aplicațiile pot urmări și estima timpul de execuție al etapelor preliminare de încărcare și compilare a semnăturii.
- S-a adăugat suport pentru masca de formatare a șirurilor „%f” la opțiunea VirusEvent pentru a înlocui calea către fișierul în care a fost detectat virusul (similar cu masca „%v” cu numele virusului detectat). În VirusEvent, o funcționalitate similară este disponibilă și prin variabilele de mediu $CLAM_VIRUSEVENT_FILENAME și $CLAM_VIRUSEVENT_VIRUSNAME.
- Performanță îmbunătățită a modulului de despachetare a scriptului AutoIt.
- S-a adăugat suport pentru extragerea imaginilor din fișiere *.xls (Excel OLE2).
- Este posibil să descărcați hashuri Authenticode pe baza algoritmului SHA256 sub formă de fișiere *.cat (utilizate pentru a verifica fișierele executabile Windows semnate digital).
Sursa: opennet.ru