Po šestih mesecih razvoja je Cisco izdal brezplačni protivirusni paket ClamAV 1.3.0. Projekt je leta 2013 prešel v roke Cisca po nakupu Sourcefire, podjetja, ki razvija ClamAV in Snort. Koda projekta se distribuira pod licenco GPLv2. Veja 1.3.0 je razvrščena kot običajna (ne LTS), katere posodobitve so objavljene vsaj 4 mesece po prvi izdaji naslednje veje. Možnost prenosa podatkovne baze podpisov za veje, ki niso LTS, je na voljo še vsaj 4 mesece po izdaji naslednje veje.
Ključne izboljšave v ClamAV 1.3:
- Dodana podpora za ekstrahiranje in preverjanje prilog, ki se uporabljajo v datotekah Microsoft OneNote. Razčlenjevanje OneNote je privzeto omogočeno, vendar ga lahko po želji onemogočite tako, da v clamd.conf nastavite »ScanOneNote no«, navedete možnost ukazne vrstice »--scan-onenote=no«, ko zaženete pripomoček clamscan, ali dodate zastavico CL_SCAN_PARSE_ONENOTE v parameter options.parse pri uporabi libclamav.
- Vzpostavljena je bila montaža ClamAV v BeOS podobnem operacijskem sistemu Haiku.
- V clamd je bilo dodano preverjanje obstoja imenika za začasne datoteke, določene v datoteki clamd.conf prek direktive TemporaryDirectory. Če ta imenik manjka, se postopek zdaj konča z napako.
- Pri nastavitvi gradnje statičnih knjižnic v CMake je zagotovljena namestitev statičnih knjižnic libclamav_rust, libclammspack, libclamunrar_iface in libclamunrar, ki se uporabljajo v libclamav.
- Implementirano zaznavanje vrste datoteke za prevedene skripte Python (.pyc). Vrsta datoteke se posreduje v obliki parametra niza CL_TYPE_PYTHON_COMPILED, podprtega v funkcijah clcb_pre_cache, clcb_pre_scan in clcb_file_inspection.
- Izboljšana podpora za dešifriranje dokumentov PDF s praznim geslom.
Istočasno sta bili ustvarjeni posodobitvi ClamAV 1.2.2 in 1.0.5, ki sta odpravili dve ranljivosti, ki vplivata na veje 0.104, 0.105, 1.0, 1.1 in 1.2:
- CVE-2024-20328 - Možnost zamenjave ukaza med pregledovanjem datotek v clamd zaradi napake v implementaciji direktive "VirusEvent", ki se uporablja za zagon poljubnega ukaza, če je zaznan virus. Podrobnosti o izkoriščanju ranljivosti še niso bile razkrite, znano je le, da je bila težava odpravljena z onemogočanjem podpore za parameter oblikovanja niza VirusEvent '%f', ki je bil nadomeščen z imenom okužene datoteke.
Očitno se napad zmanjša na pošiljanje posebej oblikovanega imena okužene datoteke, ki vsebuje posebne znake, ki jim ni mogoče ubežati, ko zaženete ukaz, določen v VirusEvent. Omeniti velja, da je bila podobna ranljivost odpravljena že leta 2004 in tudi z odstranitvijo podpore za zamenjavo '%f', ki je bila nato vrnjena v izdaji ClamAV 0.104 in je privedla do oživitve stare ranljivosti. V stari ranljivosti ste morali za izvedbo ukaza med pregledovanjem virusov ustvariti samo datoteko z imenom “; mkdir last" in vanj vpišite podpis testa virusa.
- CVE-2024-20290 je prekoračitev medpomnilnika v kodi za razčlenjevanje datoteke OLE2, ki bi jo lahko oddaljeni nepreverjeni napadalec uporabil za povzročitev zavrnitve storitve (zrušitev postopka skeniranja). Težavo povzroča nepravilno preverjanje konca vrstice med skeniranjem vsebine, kar povzroči branje z območja zunaj meje medpomnilnika.
Vir: opennet.ru