Cisco đã giới thiệu một bản phát hành mới quan trọng của bộ phần mềm chống vi-rút miễn phí, ClamAV 0.105.0, đồng thời cũng đã xuất bản các bản phát hành khắc phục ClamAV 0.104.3 và 0.103.6 nhằm sửa các lỗ hổng và lỗi. Chúng ta hãy nhớ lại rằng dự án đã được chuyển vào tay Cisco vào năm 2013 sau khi mua Sourcefire, công ty phát triển ClamAV và Snort. Mã dự án được phân phối theo giấy phép GPLv2.
Những cải tiến chính trong ClamAV 0.105:
- Một trình biên dịch cho ngôn ngữ Rust được bao gồm trong các phần phụ thuộc bắt buộc của bản dựng. Bản dựng yêu cầu ít nhất Rust 1.56. Các thư viện phụ thuộc cần thiết trong Rust đều có trong gói ClamAV chính.
- Mã để cập nhật dần dần kho lưu trữ cơ sở dữ liệu (CDIFF) đã được viết lại bằng Rust. Việc triển khai mới giúp tăng tốc đáng kể việc áp dụng các bản cập nhật loại bỏ một số lượng lớn chữ ký khỏi cơ sở dữ liệu. Đây là mô-đun đầu tiên được viết lại bằng Rust.
- Các giá trị giới hạn mặc định đã được tăng lên:
- Kích thước quét tối đa: 100M > 400M
- Kích thước tệp tối đa: 25M > 100M
- Chiều dài tối đa của luồng: 25M > 100M
- PCREMaxFileKích thước: 25M > 100M
- MaxEmbeddedPE: 10M > 40M
- MaxHTMLNormalize: 10M > 40M
- MaxScriptNormalize: 5M > 20M
- MaxHTMLNoTags: 2M > 8M
- Kích thước dòng tối đa trong tệp cấu hình Freshclam.conf và Clamd.conf đã tăng từ 512 lên 1024 ký tự (khi chỉ định mã thông báo truy cập, tham số DatabaseMirror có thể vượt quá 512 byte).
- Để xác định hình ảnh được sử dụng để lừa đảo hoặc phân phối phần mềm độc hại, chúng tôi đã triển khai hỗ trợ cho một loại chữ ký logic mới sử dụng phương pháp băm mờ, cho phép xác định các đối tượng tương tự với một mức xác suất nhất định. Để tạo hàm băm mờ cho một hình ảnh, bạn có thể sử dụng lệnh “sigtool —fuzzy-img”.
- ClamScan và ClamDScan có khả năng quét bộ nhớ quy trình tích hợp. Tính năng này đã được chuyển từ gói ClamWin và dành riêng cho nền tảng Windows. Đã thêm các tùy chọn "--memory", "--kill" và "--unload" vào ClamScan và ClamDScan trên nền tảng Windows.
- Đã cập nhật các thành phần thời gian chạy để thực thi mã byte dựa trên LLVM. Để tăng hiệu suất quét so với trình thông dịch mã byte mặc định, chế độ biên dịch JIT đã được đề xuất. Hỗ trợ cho các phiên bản LLVM cũ hơn đã bị ngừng; Phiên bản LLVM 8 đến 12 hiện có thể được sử dụng cho công việc.
- Cài đặt TạoMetadataJson đã được thêm vào Clamd, tương đương với tùy chọn “--gen-json” trong Clamscan và khiến siêu dữ liệu về tiến trình quét được ghi vào tệp siêu dữ liệu.json ở định dạng JSON.
- Có thể xây dựng bằng thư viện bên ngoài TomsFastMath (libtfm), được bật bằng các tùy chọn “-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”, “-D TomsFastMath_INCLUDE_DIR= " và "-D TomsFastMath_LIBRARY= " Bản sao đi kèm của thư viện TomsFastMath đã được cập nhật lên phiên bản 0.13.1.
- Tiện ích Freshclam đã cải thiện hành vi khi xử lý thời gian chờ NhậnTimeout, giờ đây chỉ chấm dứt các lượt tải xuống bị treo và không làm gián đoạn các lượt tải xuống chậm đang hoạt động với dữ liệu được truyền qua các kênh liên lạc kém.
- Đã thêm hỗ trợ để xây dựng ClamdTop bằng thư viện ncursesw nếu thiếu ncurses.
- Các lỗ hổng đã được sửa:
- CVE-2022-20803 là một bản miễn phí kép trong trình phân tích cú pháp tệp OLE2.
- CVE-2022-20770 Vòng lặp vô hạn trong trình phân tích cú pháp tệp CHM.
- CVE-2022-20796 - Sự cố do vô hiệu hóa con trỏ NULL trong mã kiểm tra bộ đệm.
- CVE-2022-20771 – Vòng lặp vô hạn trong trình phân tích cú pháp tệp TIFF.
- CVE-2022-20785 - Rò rỉ bộ nhớ trong trình phân tích cú pháp HTML và trình chuẩn hóa Javascript.
- CVE-2022-20792 - Tràn bộ đệm trong mô-đun tải cơ sở dữ liệu chữ ký.
Nguồn: opennet.ru