Efter sex månaders utveckling har Cisco publicerat den kostnadsfria antivirussviten ClamAV 1.3.0. Projektet gick i händerna på Cisco 2013 efter att ha köpt Sourcefire, företaget som utvecklar ClamAV och Snort. Projektkoden distribueras under GPLv2-licensen. 1.3.0-grenen klassificeras som vanlig (inte LTS), uppdateringar till vilka publiceras minst 4 månader efter den första releasen av nästa gren. Möjligheten att ladda ner signaturdatabasen för icke-LTS-grenar finns också i minst ytterligare 4 månader efter utgivningen av nästa gren.
Viktiga förbättringar i ClamAV 1.3:
- Tillagt stöd för att extrahera och kontrollera bilagor som används i Microsoft OneNote-filer. OneNote-analys är aktiverat som standard, men kan inaktiveras om så önskas genom att ställa in "ScanOneNote no" i clamd.conf, ange kommandoradsalternativet "--scan-onenote=no" när du kör clamscan-verktyget, eller lägga till flaggan CL_SCAN_PARSE_ONENOTE till parametern options.parse när du använder libclamav.
- Montering av ClamAV i det BeOS-liknande operativsystemet Haiku har etablerats.
- Lade till en kontroll i clamd för existensen av katalogen för temporära filer som anges i filen clamd.conf via TemporaryDirectory-direktivet. Om denna katalog saknas avslutas processen nu med ett fel.
- När du ställer in byggandet av statiska bibliotek i CMake säkerställs installationen av de statiska biblioteken libclamav_rust, libclammspack, libclamunrar_iface och libclamunrar, som används i libclamav.
- Implementerad filtypsdetektering för kompilerade Python-skript (.pyc). Filtypen skickas i form av strängparametern CL_TYPE_PYTHON_COMPILED, som stöds i funktionerna clcb_pre_cache, clcb_pre_scan och clcb_file_inspection.
- Förbättrat stöd för att dekryptera PDF-dokument med ett tomt lösenord.
Samtidigt genererades uppdateringar av ClamAV 1.2.2 och 1.0.5, som fixade två sårbarheter som påverkar grenarna 0.104, 0.105, 1.0, 1.1 och 1.2:
- CVE-2024-20328 - Möjlighet till kommandoersättning under filsökning i clamd på grund av ett fel i implementeringen av "VirusEvent"-direktivet, används för att köra ett godtyckligt kommando om ett virus upptäcks. Detaljer om utnyttjandet av sårbarheten har ännu inte avslöjats; allt som är känt är att problemet åtgärdades genom att inaktivera stödet för VirusEvent-strängformateringsparametern '%f', som ersattes med namnet på den infekterade filen.
Uppenbarligen går attacken ner på att sända ett specialdesignat namn på en infekterad fil som innehåller specialtecken som inte kan undkomma när kommandot som anges i VirusEvent körs. Det är anmärkningsvärt att en liknande sårbarhet åtgärdades redan 2004 och även genom att ta bort stödet för "%f"-ersättningen, som sedan returnerades i releasen av ClamAV 0.104 och ledde till att den gamla sårbarheten återupplivades. I den gamla sårbarheten, för att utföra ditt kommando under en virussökning, behövde du bara skapa en fil med namnet "; mkdir ägt" och skriv virustestsignaturen i den.
- CVE-2024-20290 är ett buffertspill i OLE2-filanalyskoden, som kan användas av en oautentiserad fjärrangripare för att orsaka ett överbelastningsskydd (krasch av skanningsprocessen). Problemet orsakas av felaktig end-of-line-kontroll under innehållsskanning, vilket resulterar i läsning från ett område utanför buffertgränsen.
Källa: opennet.ru