Компанія Cisco представила новий значний випуск вільного антивірусного пакету ClamAV 0.105.0, а також опублікувала коректуючі випуски ClamAV 0.104.3 та 0.103.6 з виправленням уразливостей та помилок. Нагадаємо, що проект перейшов до рук Cisco у 2013 році після покупки компанії Sourcefire, що розвиває ClamAV та Snort. Код проекту розповсюджується під ліцензією GPLv2.
Ключові покращення в ClamAV 0.105:
- До обов'язкових для складання залежностей включено компілятор для мови Rust. Для складання потрібно як мінімум версія Rust 1.56. Необхідні бібліотеки-залежності мовою Rust включені до основного складу пакету ClamAV.
- Переписаний мовою Rust код інкрементального оновлення архіву БД (CDIFF). Нова реалізація дозволила значно прискорити застосування оновлень, що видаляють велику кількість сигнатур із бази. Це перший модуль переписаний на Rust.
- Збільшено встановлені за замовчуванням значення лімітів:
- MaxScanSize: 100M > 400M
- MaxFileSize: 25M > 100M
- StreamMaxLength: 25M > 100M
- PCREMaxFileSize: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalize: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- Максимальний розмір рядка у файлах конфігурації freshclam.conf та clamd.conf підвищений з 512 до 1024 символів (при вказівці токенів доступу параметр DatabaseMirror міг перевищувати 512 байт).
- Для визначення зображень, що використовуються для фішингу або при поширенні шкідливого програмного забезпечення, реалізована підтримка нового виду логічних сигнатур, в яких використовується метод нечіткого хешування (fuzzy hashing), що дозволяє виявляти схожі об'єкти з певним ступенем ймовірності. Для створення нечіткого хеша для зображення можна використовувати команду «sigtool — fuzzy-img».
- У ClamScan та ClamDScan вбудована можливість сканування пам'яті процесів. Ця можливість перенесена з пакета ClamWin і специфічна для платформи Windows. У ClamScan і ClamDScan на платформі Windows додані опції "-memory", "-kill" і "-unload".
- Оновлено runtime-компоненти для виконання байткоду, засновані на LLVM. Для збільшення продуктивності сканування порівняно з пропонованим за умовчанням інтерпретатором байткоду запропоновано режим JIT-компіляції. Припинено підтримку старих версій LLVM, для роботи тепер можна використовувати версії LLVM з 8 по 12.
- У Clamd додано налаштування GenerateMetadataJson, еквівалентну опції «-gen-json» у clamscan і що призводить до запису у файл metadata.json метаданих про хід сканування у форматі JSON.
- Надано можливість складання з використанням зовнішньої бібліотеки TomsFastMath (libtfm), що включається за допомогою опцій "-D ENABLE_EXTERNAL_TOMSFASTMATH=ON", "-D TomsFastMath_INCLUDE_DIR= » та «-D TomsFastMath_LIBRARY= ». Копію бібліотеки TomsFastMath, що входить у поставку, оновлено до версії 0.13.1.
- В утиліті Freshclam покращена поведінка при обробці таймууту ReceiveTimeout, який тепер обриває тільки завислі завантаження і не перериває активні повільні завантаження з передачею даних по поганих каналах зв'язку.
- Додано підтримку складання ClamdTop з використанням бібліотеки ncursesw у разі відсутності ncurses.
- Усунені вразливості:
- CVE-2022-20803 – подвійне звільнення пам'яті у парсері файлів OLE2.
- CVE-2022-20770 - нескінченне зациклювання в парсері файлів CHM.
- CVE-2022-20796 - аварійне завершення через розіменування нульового покажчика в коді перевірки кешу.
- CVE-2022-20771 - нескінченне зациклювання в парсері файлів TIFF.
- CVE-2022-20785 - витік пам'яті в парсері HTML і нормалізатор Javascript.
- CVE-2022-20792 – переповнення буфера в модулі завантаження бази сигнатур.
Джерело: opennet.ru