经过六个月的开发,思科发布了免费防病毒套件 ClamAV 1.3.0。 2013 年,思科收购了开发 ClamAV 和 Snort 的 Sourcefire 公司后,该项目移交给了思科。项目代码根据 GPLv2 许可证分发。 1.3.0 分支被归类为常规(非 LTS)分支,其更新在下一个分支首次发布后至少 4 个月发布。在下一个分支发布后至少 4 个月内还提供下载非 LTS 分支签名数据库的能力。
ClamAV 1.3 的主要改进:
- 添加了对提取和检查 Microsoft OneNote 文件中使用的附件的支持。默认情况下启用 OneNote 解析,但如果需要,可以通过在 clamd.conf 中设置“ScanOneNote no”、在运行 clamscan 实用程序时指定命令行选项“--scan-onenote=no”或添加 CL_SCAN_PARSE_ONENOTE 标志来禁用 OneNote 解析使用 libclamav 时的 options.parse 参数。
- ClamAV在类BeOS操作系统Haiku中的汇编已经建立。
- 添加了对 clamd 的检查,检查是否存在通过 TemporaryDirectory 指令在 clamd.conf 文件中指定的临时文件的目录。如果缺少此目录,该进程现在将退出并出现错误。
- 在 CMake 中设置静态库的构建时,确保安装 libclamav 中使用的静态库 libclamav_rust、libclammspack、libclamunrar_iface 和 libclamunrar。
- 为已编译的 Python 脚本 (.pyc) 实现了文件类型检测。文件类型以字符串参数 CL_TYPE_PYTHON_COMPILED 的形式传递,在 clcb_pre_cache、clcb_pre_scan 和 clcb_file_inspection 函数中受支持。
- 改进了对使用空白密码解密 PDF 文档的支持。
同时生成了ClamAV 1.2.2和1.0.5更新,修复了影响分支0.104、0.105、1.0、1.1和1.2的两个漏洞:
- CVE-2024-20328 - 由于执行“VirusEvent”指令时出现错误,在 clamd 中进行文件扫描期间可能出现命令替换,该指令用于在检测到病毒时运行任意命令。利用该漏洞的详细信息尚未披露;所知道的只是通过禁用对 VirusEvent 字符串格式化参数“%f”的支持(该参数被替换为受感染文件的名称)来解决该问题。
显然,攻击归结为传输受感染文件的专门设计名称,其中包含在运行 VirusEvent 中指定的命令时无法转义的特殊字符。值得注意的是,类似的漏洞已于 2004 年修复,并且还删除了对“%f”替换的支持,随后在 ClamAV 0.104 版本中恢复了该漏洞,并导致旧漏洞再次出现。在旧漏洞中,要在病毒扫描期间执行命令,您只需创建一个名为“;”的文件。 mkdir own”并将病毒测试签名写入其中。
- CVE-2024-20290 是 OLE2 文件解析代码中的缓冲区溢出,未经身份验证的远程攻击者可能会利用它来导致拒绝服务(扫描过程崩溃)。该问题是由于内容扫描期间不正确的行尾检查导致的,导致从缓冲区边界之外的区域进行读取。
来源: opennet.ru