Након шест месеци развоја, Цисцо је објавио издање бесплатног антивирусног пакета ЦламАВ 1.3.0. Пројекат је прешао у руке Цисцо-а 2013. након куповине Соурцефире-а, компаније која развија ЦламАВ и Снорт. Код пројекта се дистрибуира под ГПЛв2 лиценцом. Грана 1.3.0 је класификована као редовна (не ЛТС), чија се ажурирања објављују најмање 4 месеца након првог издања следеће гране. Могућност преузимања базе потписа за гране које нису ЛТС такође је обезбеђена још најмање 4 месеца након објављивања следеће гране.
Кључна побољшања у ЦламАВ 1.3:
- Додата подршка за издвајање и проверу прилога који се користе у Мицрософт ОнеНоте датотекама. ОнеНоте рашчлањивање је подразумевано омогућено, али се по жељи може онемогућити постављањем „СцанОнеНоте но“ у цламд.цонф, навођењем опције командне линије „--сцан-оненоте=но“ када се покреће услужни програм цламсцан или додавањем ознаке ЦЛ_СЦАН_ПАРСЕ_ОНЕНОТЕ у параметар оптионс.парсе када користите либцламав.
- Успостављен је склоп ЦламАВ-а у оперативном систему Хаику сличном БеОС-у.
- Додата провера у цламд за постојање директоријума за привремене датотеке наведене у датотеци цламд.цонф преко ТемпорариДирецтори директиве. Ако овај директоријум недостаје, процес сада излази са грешком.
- Приликом подешавања монтаже статичких библиотека у ЦМаке-у, обезбеђена је инсталација статичких библиотека либцламав_руст, либцламмспацк, либцламунрар_ифаце и либцламунрар, које се користе у либцламав.
- Имплементирано откривање типа датотеке за компајлиране Питхон скрипте (.пиц). Тип датотеке се прослеђује у облику параметра стринга ЦЛ_ТИПЕ_ПИТХОН_ЦОМПИЛЕД, подржаног у функцијама цлцб_пре_цацхе, цлцб_пре_сцан и цлцб_филе_инспецтион.
- Побољшана подршка за дешифровање ПДФ докумената са празном лозинком.
Истовремено су генерисане исправке ЦламАВ 1.2.2 и 1.0.5, које су поправиле две рањивости које утичу на гране 0.104, 0.105, 1.0, 1.1 и 1.2:
- ЦВЕ-2024-20328 – Могућност замене команде током скенирања датотека у цламд-у због грешке у имплементацији директиве „ВирусЕвент“, која се користи за покретање произвољне команде ако се открије вирус. Детаљи о искоришћавању рањивости још нису објављени, познато је само да је проблем решен онемогућавањем подршке за параметар форматирања стрингова ВирусЕвент '%ф', који је замењен именом заражене датотеке.
Очигледно, напад се своди на преношење посебно дизајнираног имена заражене датотеке која садржи специјалне знакове који се не могу избећи приликом покретања команде наведене у ВирусЕвент. Важно је напоменути да је слична рањивост већ отклоњена 2004. године и такође уклањањем подршке за замену '%ф', која је потом враћена у издању ЦламАВ 0.104 и довела до оживљавања старе рањивости. У старој рањивости, да бисте извршили своју команду током скенирања вируса, морали сте само да креирате датотеку под називом „; мкдир у власништву“ и у њега упишите потпис теста вируса.
- ЦВЕ-2024-20290 је преливање бафера у ОЛЕ2 коду за рашчлањивање датотеке, који би могао да користи удаљени нападач без аутентификације да изазове ускраћивање услуге (слом процеса скенирања). Проблем је узрокован неисправном провером краја линије током скенирања садржаја, што резултира читањем из области изван границе бафера.
Извор: опеннет.ру