หลังจากหกเดือนของการพัฒนา Cisco ได้เผยแพร่ชุดโปรแกรมป้องกันไวรัสฟรี ClamAV 1.3.0 โครงการนี้ตกไปอยู่ในมือของ Cisco ในปี 2013 หลังจากซื้อ Sourcefire ซึ่งเป็นบริษัทที่พัฒนา ClamAV และ Snort รหัสโครงการได้รับการเผยแพร่ภายใต้ใบอนุญาต GPLv2 แบรนช์ 1.3.0 ถูกจัดประเภทเป็นแบบปกติ (ไม่ใช่ LTS) การอัปเดตซึ่งจะมีการเผยแพร่อย่างน้อย 4 เดือนหลังจากการเปิดตัวครั้งแรกของแบรนช์ถัดไป ความสามารถในการดาวน์โหลดฐานข้อมูลลายเซ็นสำหรับสาขาที่ไม่ใช่ LTS จะมีให้เป็นเวลาอย่างน้อยอีก 4 เดือนหลังจากการเปิดตัวสาขาถัดไป
การปรับปรุงที่สำคัญใน ClamAV 1.3:
- เพิ่มการรองรับการแยกและตรวจสอบไฟล์แนบที่ใช้ในไฟล์ Microsoft OneNote การแยกวิเคราะห์ OneNote ถูกเปิดใช้งานตามค่าเริ่มต้น แต่สามารถปิดใช้งานได้หากต้องการโดยการตั้งค่า "ScanOneNote no" ใน clamd.conf ระบุตัวเลือกบรรทัดคำสั่ง "--scan-onenote=no" เมื่อเรียกใช้ยูทิลิตี clamscan หรือเพิ่มการตั้งค่าสถานะ CL_SCAN_PARSE_ONENOTE ไปที่ พารามิเตอร์ options.parse เมื่อใช้ libclamav
- การประกอบ ClamAV ในระบบปฏิบัติการที่คล้ายกับ BeOS Haiku ได้รับการจัดตั้งขึ้น
- เพิ่มการตรวจสอบ clamd สำหรับการมีอยู่ของไดเร็กทอรีสำหรับไฟล์ชั่วคราวที่ระบุในไฟล์ clamd.conf ผ่านทางคำสั่ง TemporaryDirectory หากไดเร็กทอรีนี้หายไป กระบวนการจะออกจากระบบโดยมีข้อผิดพลาด
- เมื่อตั้งค่าบิลด์ของไลบรารีแบบคงที่ใน CMake จะรับประกันการติดตั้งไลบรารีแบบคงที่ libclamav_rust, libclammspack, libclamunrar_iface และ libclamunrar ที่ใช้ใน libclamav
- ใช้การตรวจจับประเภทไฟล์สำหรับสคริปต์ Python ที่คอมไพล์แล้ว (.pyc) ประเภทไฟล์ถูกส่งผ่านในรูปแบบของพารามิเตอร์สตริง CL_TYPE_PYTHON_COMPILED ซึ่งสนับสนุนในฟังก์ชัน clcb_pre_cache, clcb_pre_scan และ clcb_file_inspection
- ปรับปรุงการรองรับการถอดรหัสเอกสาร PDF ด้วยรหัสผ่านที่ว่างเปล่า
ในเวลาเดียวกัน มีการสร้างการอัปเดต ClamAV 1.2.2 และ 1.0.5 ซึ่งแก้ไขช่องโหว่สองรายการที่ส่งผลกระทบต่อสาขา 0.104, 0.105, 1.0, 1.1 และ 1.2:
- CVE-2024-20328 - ความเป็นไปได้ของการทดแทนคำสั่งระหว่างการสแกนไฟล์ใน clamd เนื่องจากข้อผิดพลาดในการใช้งานคำสั่ง "VirusEvent" ซึ่งใช้เพื่อรันคำสั่งที่กำหนดเองหากตรวจพบไวรัส รายละเอียดของการหาประโยชน์จากช่องโหว่ดังกล่าวยังไม่ได้รับการเปิดเผย สิ่งที่ทราบก็คือปัญหาได้รับการแก้ไขโดยการปิดใช้งานการสนับสนุนพารามิเตอร์การจัดรูปแบบสตริง VirusEvent '%f' ซึ่งถูกแทนที่ด้วยชื่อของไฟล์ที่ติดไวรัส
เห็นได้ชัดว่าการโจมตีมุ่งไปที่การส่งชื่อที่ออกแบบมาเป็นพิเศษของไฟล์ที่ติดไวรัสซึ่งมีอักขระพิเศษที่ไม่สามารถหลบหนีได้เมื่อรันคำสั่งที่ระบุใน VirusEvent เป็นที่น่าสังเกตว่าช่องโหว่ที่คล้ายกันนี้ได้รับการแก้ไขแล้วในปี 2004 และยังได้ลบการสนับสนุนสำหรับการแทนที่ '%f' ซึ่งต่อมาได้ส่งคืนในการเปิดตัว ClamAV 0.104 และนำไปสู่การฟื้นตัวของช่องโหว่แบบเก่า ในช่องโหว่แบบเก่า หากต้องการดำเนินการคำสั่งของคุณระหว่างการสแกนไวรัส คุณเพียงแค่ต้องสร้างไฟล์ชื่อ “; mkdir owned" และเขียนลายเซ็นการทดสอบไวรัสลงไป
- CVE-2024-20290 เป็นบัฟเฟอร์ล้นในโค้ดแยกวิเคราะห์ไฟล์ OLE2 ซึ่งผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องจากระยะไกลอาจนำไปใช้เพื่อทำให้เกิดการปฏิเสธการให้บริการ (กระบวนการสแกนขัดข้อง) ปัญหานี้เกิดจากการตรวจสอบจุดสิ้นสุดบรรทัดที่ไม่ถูกต้องระหว่างการสแกนเนื้อหา ส่งผลให้มีการอ่านจากพื้นที่นอกขอบเขตบัฟเฟอร์
ที่มา: opennet.ru