Після шести місяців розробки компанія Cisco опублікувала випуск вільного пакету антивірусного ClamAV 1.3.0. Проект перейшов у руки Cisco у 2013 році після покупки компанії Sourcefire, що розвиває ClamAV та Snort. Код проекту розповсюджується під ліцензією GPLv2. Гілка 1.3.0 віднесена до категорії звичайних (не LTS), оновлення до яких публікуються щонайменше протягом 4 місяців після виходу першого релізу наступної гілки. Можливість завантаження бази сигнатур для не-LTS гілок також забезпечується щонайменше ще 4 місяці після випуску наступної гілки.
Ключові покращення в ClamAV 1.3:
- Додано підтримку вилучення та перевірки вкладень, які використовуються у файлах Microsoft OneNote. Розбір формату OneNote включений за замовчуванням, але при бажанні може бути вимкнений за допомогою налаштування «ScanOneNote no» у clamd.conf, вказівці опції командного рядка «—scan-onenote=no» при запуску утиліти clamscan або додавання прапора CL_SCAN_PARSE_ONENOTE в параметр при використанні libclamav.
- Налагоджено складання ClamAV у BeOS-подібній операційній системі Haiku.
- У clamd додано перевірку існування каталогу для тимчасових файлів, вказаного у файлі clamd.conf через директиву TemporaryDirectory. За відсутності даного каталогу, процес тепер завершується з висновком помилки.
- При налаштуванні складання статичних бібліотек у CMake, забезпечено встановлення статичних бібліотек libclamav_rust, libclammspack, libclamunrar_iface та libclamunrar, що застосовуються в libclamav.
- Реалізовано визначення типу файлу для скомпільованих Python-сценаріїв (.pyc). Тип файлу передається у формі рядкового параметра CL_TYPE_PYTHON_COMPILED, що підтримується у функціях clcb_pre_cache, clcb_pre_scan та clcb_file_inspection.
- Покращена підтримка розшифрування PDF-документів із порожнім паролем.
Одночасно сформовані оновлення ClamAV 1.2.2 та 1.0.5, у яких усунуто дві вразливості, що зачіпають гілки 0.104, 0.105, 1.0, 1.1 та 1.2:
- CVE-2024-20328 — можливість підстановки команд у процесі перевірки файлів у clamd через помилку реалізації директиви «VirusEvent», застосовуваної для запуску довільної команди у разі виявлення вірусу. Деталі експлуатації вразливості поки не розкриваються, відомо лише те, що проблема усунена через відключення підтримки у VirusEvent параметра форматування рядка '%f', який замінювався на ім'я інфікованого файлу.
Судячи з усього, атака зводиться до передачі спеціально оформленого імені зараженого файлу, що містить спецсимволи, що не екрануються при запуску команди, зазначеної в VirusEvent. Примітно, що схожу вразливість вже усували в 2004 році і також видаленням підтримки підстановки %f, яка потім була повернена у випуску ClamAV 0.104 і призвела до відродження старої вразливості. У старій вразливості для виконання своєї команди під час перевірки на віруси достатньо було створити файл з ім'ям; mkdir owned» та записати в нього тестову сигнатуру вірусу.
- CVE-2024-20290 — переповнення буфера в коді аналізу файлів із вмістом у форматі OLE2, який видалений неавтентифікований атакуючий може використовувати для відмови в обслуговуванні (аварійне завершення процесу сканування). Проблема викликана некоректною перевіркою кінця рядка під час сканування вмісту, що призводить до читання з області поза межами буфера.
Джерело: opennet.ru