Cisco predstavilo hlavné nové vydanie svojho bezplatného antivírusového balíka ClamAV 0.105.0 a tiež zverejnilo opravné vydania ClamAV 0.104.3 a 0.103.6, ktoré opravujú slabé miesta a chyby. Pripomeňme, že projekt prešiel do rúk Cisco v roku 2013 po kúpe Sourcefire, spoločnosti vyvíjajúcej ClamAV a Snort. Kód projektu je distribuovaný pod licenciou GPLv2.
Kľúčové vylepšenia v ClamAV 0.105:
- Kompilátor pre jazyk Rust je súčasťou požadovaných závislostí zostavy. Build vyžaduje minimálne Rust 1.56. Potrebné knižnice závislostí v Ruste sú zahrnuté v hlavnom balíku ClamAV.
- Kód pre prírastkovú aktualizáciu archívu databázy (CDIFF) bol prepísaný do jazyka Rust. Nová implementácia umožnila výrazne urýchliť aplikáciu aktualizácií, ktoré z databázy odstránia veľké množstvo podpisov. Toto je prvý modul prepísaný v Ruste.
- Predvolené limitné hodnoty sa zvýšili:
- MaxScanSize: 100M > 400M
- MaxFileSize: 25M > 100M
- Maximálna dĺžka prúdu: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalize: 10 miliónov > 40 miliónov
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2 mil. > 8 mil
- Maximálna veľkosť riadku v konfiguračných súboroch freshclam.conf a clamd.conf bola zvýšená z 512 na 1024 znakov (pri zadávaní prístupových tokenov môže parameter DatabaseMirror presiahnuť 512 bajtov).
- Na identifikáciu obrázkov používaných na phishing alebo distribúciu škodlivého softvéru bola implementovaná podpora pre nový typ logických podpisov, ktoré využívajú metódu fuzzy hash, ktorá umožňuje identifikovať podobné objekty s určitým stupňom pravdepodobnosti. Ak chcete vygenerovať fuzzy hash pre obrázok, môžete použiť príkaz „sigtool —fuzzy-img“.
- ClamScan a ClamDScan majú vstavané možnosti skenovania procesnej pamäte. Táto funkcia bola prenesená z balíka ClamWin a je špecifická pre platformu Windows. Pridané možnosti „--memory“, „--kill“ a „--unload“ do ClamScan a ClamDScan na platforme Windows.
- Aktualizované runtime komponenty na vykonávanie bajtkódu založeného na LLVM. Na zvýšenie výkonu skenovania v porovnaní s predvoleným interpretom bajtového kódu bol navrhnutý režim kompilácie JIT. Podpora starších verzií LLVM bola ukončená, LLVM verzie 8 až 12 je teraz možné použiť na prácu.
- Do Clamd bolo pridané nastavenie GenerateMetadataJson, ktoré je ekvivalentom možnosti „--gen-json“ v clamscan a spôsobí, že sa metadáta o priebehu skenovania zapíšu do súboru metadata.json vo formáte JSON.
- Je možné zostaviť pomocou externej knižnice TomsFastMath (libtfm), ktorá je povolená pomocou možností „-D ENABLE_EXTERNAL_TOMSFASTMATH=ON“, „-D TomsFastMath_INCLUDE_DIR= " a "-D TomsFastMath_LIBRARY= " Zahrnutá kópia knižnice TomsFastMath bola aktualizovaná na verziu 0.13.1.
- Pomôcka Freshclam zlepšila správanie pri spracovávaní časového limitu ReceiveTimeout, ktorý teraz ukončuje iba zmrazené sťahovanie a neprerušuje aktívne pomalé sťahovanie s údajmi prenášanými cez zlé komunikačné kanály.
- Pridaná podpora pre vytváranie ClamdTop pomocou knižnice ncursesw, ak ncurses chýba.
- Opravené chyby zabezpečenia:
- CVE-2022-20803 je dvojitý voľný v analyzátore súborov OLE2.
- CVE-2022-20770 Nekonečná slučka v analyzátore súborov CHM.
- CVE-2022-20796 - Zlyhanie v dôsledku zníženia referencie ukazovateľa NULL v kóde kontroly vyrovnávacej pamäte.
- CVE-2022-20771 – Nekonečná slučka v analyzátore súborov TIFF.
- CVE-2022-20785 – Únik pamäte v analyzátore HTML a normalizátore JavaScriptu.
- CVE-2022-20792 - Pretečenie vyrovnávacej pamäte v module načítania databázy podpisov.
Zdroj: opennet.ru