Sau sáu tháng phát triển, Cisco đã công bố phát hành bộ phần mềm chống vi-rút miễn phí ClamAV 1.3.0. Dự án được chuyển giao cho Cisco vào năm 2013 sau khi mua Sourcefire, công ty phát triển ClamAV và Snort. Mã dự án được phân phối theo giấy phép GPLv2. Nhánh 1.3.0 được phân loại là thông thường (không phải LTS), các bản cập nhật được xuất bản ít nhất 4 tháng sau lần phát hành đầu tiên của nhánh tiếp theo. Khả năng tải xuống cơ sở dữ liệu chữ ký cho các nhánh không phải LTS cũng được cung cấp trong ít nhất 4 tháng nữa sau khi phát hành nhánh tiếp theo.
Những cải tiến chính trong ClamAV 1.3:
- Đã thêm hỗ trợ trích xuất và kiểm tra tệp đính kèm được sử dụng trong tệp Microsoft OneNote. Phân tích cú pháp OneNote được bật theo mặc định nhưng có thể bị tắt nếu muốn bằng cách đặt "ScanOneNote no" trong Clamd.conf, chỉ định tùy chọn dòng lệnh "--scan-onenote=no" khi chạy tiện ích Clascan hoặc thêm cờ CL_SCAN_PARSE_ONENOTE vào tham số options.parse khi sử dụng libclamav.
- Việc lắp ráp ClamAV trong hệ điều hành giống BeOS Haiku đã được thành lập.
- Đã thêm kiểm tra để biết sự tồn tại của thư mục dành cho các tệp tạm thời được chỉ định trong tệp Clamd.conf thông qua lệnh TemporaryDirectory. Nếu thư mục này bị thiếu thì quá trình này sẽ thoát với lỗi.
- Khi thiết lập bản dựng thư viện tĩnh trong CMake, việc cài đặt các thư viện tĩnh libclamav_rust, libclammspack, libclamunrar_iface và libclamunrar, được sử dụng trong libclamav, được đảm bảo.
- Đã triển khai tính năng phát hiện loại tệp cho các tập lệnh Python đã biên dịch (.pyc). Loại tệp được truyền dưới dạng tham số chuỗi CL_TYPE_PYTHON_COMPILED, được hỗ trợ trong các hàm clcb_pre_cache, clcb_pre_scan và clcb_file_inspection.
- Cải thiện hỗ trợ giải mã tài liệu PDF bằng mật khẩu trống.
Đồng thời, các bản cập nhật ClamAV 1.2.2 và 1.0.5 đã được tạo ra, khắc phục 0.104 lỗ hổng ảnh hưởng đến các nhánh 0.105, 1.0, 1.1, 1.2 và XNUMX:
- CVE-2024-20328 - Khả năng thay thế lệnh trong quá trình quét tệp trong Clamd do lỗi khi triển khai lệnh "VirusEvent", được sử dụng để chạy lệnh tùy ý nếu phát hiện thấy vi-rút. Chi tiết về việc khai thác lỗ hổng vẫn chưa được tiết lộ; tất cả những gì được biết là sự cố đã được khắc phục bằng cách vô hiệu hóa hỗ trợ cho tham số định dạng chuỗi VirusEvent '%f', được thay thế bằng tên của tệp bị nhiễm.
Rõ ràng, cuộc tấn công tập trung vào việc truyền tên được thiết kế đặc biệt của tệp bị nhiễm chứa các ký tự đặc biệt không thể thoát khi chạy lệnh được chỉ định trong VirusEvent. Đáng chú ý là một lỗ hổng tương tự đã được sửa vào năm 2004 và cũng bằng cách loại bỏ hỗ trợ thay thế '%f', sau đó được trả lại trong bản phát hành ClamAV 0.104 và dẫn đến sự hồi sinh của lỗ hổng cũ. Trong lỗ hổng cũ, để thực thi lệnh trong quá trình quét vi-rút, bạn chỉ cần tạo một tệp có tên “; mkdir owner" và viết chữ ký kiểm tra virus vào đó.
- CVE-2024-20290 là lỗi tràn bộ đệm trong mã phân tích tệp OLE2, có thể bị kẻ tấn công không được xác thực từ xa sử dụng để gây ra tình trạng từ chối dịch vụ (sự cố trong quá trình quét). Sự cố xảy ra do việc kiểm tra cuối dòng không chính xác trong quá trình quét nội dung, dẫn đến việc đọc từ một khu vực bên ngoài ranh giới bộ đệm.
Nguồn: opennet.ru
