Po šiestich mesiacoch vývoja spoločnosť Cisco zverejnila vydanie bezplatného antivírusového balíka ClamAV 1.3.0. Projekt prešiel do rúk Cisco v roku 2013 po kúpe Sourcefire, spoločnosti vyvíjajúcej ClamAV a Snort. Kód projektu je distribuovaný pod licenciou GPLv2. Vetva 1.3.0 je klasifikovaná ako bežná (nie LTS), ktorej aktualizácie sa zverejňujú minimálne 4 mesiace po prvom vydaní ďalšej vetvy. Možnosť stiahnuť si databázu podpisov pre non-LTS pobočky je poskytovaná ešte minimálne 4 mesiace po uvoľnení ďalšej pobočky.
Kľúčové vylepšenia v ClamAV 1.3:
- Pridaná podpora pre extrahovanie a kontrolu príloh používaných v súboroch Microsoft OneNote. Analýza OneNote je predvolene povolená, ale v prípade potreby sa dá zakázať nastavením "ScanOneNote no" v clamd.conf, zadaním možnosti príkazového riadka "--scan-onenote=no" pri spustení pomôcky clamscan alebo pridaním príznaku CL_SCAN_PARSE_ONENOTE do parameter options.parse pri použití libclamav.
- Bola zavedená montáž ClamAV v operačnom systéme Haiku podobnom BeOS.
- Do clamd bola pridaná kontrola existencie adresára pre dočasné súbory špecifikovaného v súbore clamd.conf prostredníctvom direktívy TemporaryDirectory. Ak tento adresár chýba, proces sa teraz ukončí s chybou.
- Pri nastavovaní zostavy statických knižníc v CMake je zabezpečená inštalácia statických knižníc libclamav_rust, libclammspack, libclamunrar_iface a libclamunrar, používaných v libclamav.
- Implementovaná detekcia typu súboru pre kompilované Python skripty (.pyc). Typ súboru sa odovzdáva vo forme parametra reťazca CL_TYPE_PYTHON_COMPILED, ktorý je podporovaný vo funkciách clcb_pre_cache, clcb_pre_scan a clcb_file_inspection.
- Vylepšená podpora pre dešifrovanie dokumentov PDF pomocou prázdneho hesla.
Zároveň boli vygenerované aktualizácie ClamAV 1.2.2 a 1.0.5, ktoré opravili dve zraniteľnosti ovplyvňujúce vetvy 0.104, 0.105, 1.0, 1.1 a 1.2:
- CVE-2024-20328 - Možnosť nahradenia príkazov počas skenovania súborov v clamd kvôli chybe pri implementácii direktívy "VirusEvent", ktorá sa používa na spustenie ľubovoľného príkazu v prípade detekcie vírusu. Podrobnosti o zneužití zraniteľnosti zatiaľ neboli zverejnené, je známe len to, že problém bol vyriešený zakázaním podpory parametra formátovania reťazca VirusEvent '%f', ktorý bol nahradený názvom infikovaného súboru.
Útok sa očividne scvrkáva na prenos špeciálne navrhnutého názvu infikovaného súboru obsahujúceho špeciálne znaky, ktorým nemožno uniknúť pri spustení príkazu špecifikovaného v VirusEvent. Je pozoruhodné, že podobná zraniteľnosť bola opravená už v roku 2004 a tiež odstránením podpory pre náhradu '%f', ktorá sa potom vrátila vo vydaní ClamAV 0.104 a viedla k oživeniu starej zraniteľnosti. V starej zraniteľnosti ste na vykonanie príkazu počas antivírusovej kontroly museli vytvoriť iba súbor s názvom „; mkdir owned“ a zapíšte doň podpis testu vírusu.
- CVE-2024-20290 je pretečenie vyrovnávacej pamäte v kóde analýzy súboru OLE2, ktorý by mohol vzdialený neoverený útočník použiť na odmietnutie služby (zlyhanie procesu skenovania). Problém je spôsobený nesprávnou kontrolou konca riadka počas skenovania obsahu, čo má za následok čítanie z oblasti mimo hranice vyrovnávacej pamäte.
Zdroj: opennet.ru