思科推出了免费防病毒套件的主要新版本 ClamAV 0.105.0,并发布了 ClamAV 0.104.3 和 0.103.6 的修正版本,以修复漏洞和错误。 让我们回想一下,该项目于 2013 年收购了开发 ClamAV 和 Snort 的 Sourcefire 公司后移交给了思科。 项目代码根据 GPLv2 许可证分发。
ClamAV 0.105 的主要改进:
- Rust 语言的编译器包含在所需的构建依赖项中。 构建至少需要 Rust 1.56。 Rust 中必要的依赖库包含在主 ClamAV 包中。
- 数据库存档增量更新 (CDIFF) 的代码已用 Rust 重写。 新的实现可以显着加快更新的应用速度,从而从数据库中删除大量签名。 这是用 Rust 重写的第一个模块。
- 默认限制值已增加:
- 最大扫描尺寸:100M > 400M
- 最大文件大小:25M > 100M
- 码流最大长度:25M > 100M
- PCRE最大文件大小:25M > 100M
- 最大嵌入式PE:10M > 40M
- MaxHTMLNormalize:10M > 40M
- MaxScript标准化:5M > 20M
- 最大 HTML 无标签:2M > 8M
- freshclam.conf 和 clamd.conf 配置文件中的最大行大小已从 512 个字符增加到 1024 个字符(指定访问令牌时,DatabaseMirror 参数可能会超过 512 个字节)。
- 为了识别用于网络钓鱼或恶意软件分发的图像,已经实现了对使用模糊哈希方法的新型逻辑签名的支持,该方法允许以一定的概率识别相似的对象。 要为图像生成模糊哈希,可以使用命令“sigtool —fuzzy-img”。
- ClamScan 和 ClamDScan 具有内置的进程内存扫描功能。 此功能继承自 ClamWin 包,并且特定于 Windows 平台。 Windows 平台上的 ClamScan 和 ClamDScan 添加了“--memory”、“--kill”和“--unload”选项。
- 更新了基于 LLVM 的字节码执行的运行时组件。 与默认字节码解释器相比,为了提高扫描性能,提出了 JIT 编译模式。 对旧版本 LLVM 的支持已停止;LLVM 版本 8 至 12 现在可以用于工作。
- Clamd 中添加了GenerateMetadataJson 设置,相当于clamscan 中的“--gen-json”选项,会使有关扫描进度的元数据以JSON 格式写入metadata.json 文件。
- 可以使用外部库 TomsFastMath (libtfm) 进行构建,使用选项“-D ENABLE_EXTERNAL_TOMSFASTMATH=ON”、“-D TomsFastMath_INCLUDE_DIR=”启用”和“-D TomsFastMath_LIBRARY= ” 随附的 TomsFastMath 库副本已更新至版本 0.13.1。
- Freshclam 实用程序改进了处理 ReceiveTimeout 超时时的行为,现在仅终止冻结的下载,并且不会中断通过不良通信通道传输数据的活动缓慢下载。
- 如果缺少 ncurses,则添加了对使用 ncursesw 库构建 ClamdTop 的支持。
- 已修复的漏洞:
- CVE-2022-20803 是 OLE2 文件解析器中的双重释放。
- CVE-2022-20770 CHM 文件解析器中的无限循环。
- CVE-2022-20796 - 由于缓存检查代码中的 NULL 指针取消引用而导致崩溃。
- CVE-2022-20771 – TIFF 文件解析器中出现无限循环。
- CVE-2022-20785 - HTML 解析器和 Javascript 规范化器中存在内存泄漏。
- CVE-2022-20792 - 签名数据库加载模块中的缓冲区溢出。
来源: opennet.ru