經過六個月的開發,思科發布了免費防毒套件 ClamAV 1.3.0。 2013 年,思科收購了開發 ClamAV 和 Snort 的 Sourcefire 公司後,該專案移交給了思科。專案代碼根據 GPLv2 許可證分發。 1.3.0 分支被歸類為常規(非 LTS)分支,其更新在下一個分支首次發布後至少 4 個月發布。在下一個分支發布後至少 4 個月內還提供下載非 LTS 分支簽名資料庫的能力。
ClamAV 1.3 的主要改進:
- 新增了對提取和檢查 Microsoft OneNote 文件中使用的附件的支援。預設啟用OneNote 解析,但如果需要,可以透過在clamd.conf 中設定「ScanOneNote no」、在執行clamscan 公用程式時指定命令列選項「--scan-onenote=no」或新增CL_SCAN_PARSE_ONENOTE 標誌來停用OneNote解析使用 libclamav 時的 options.parse 參數。
- ClamAV 在類 BeOS 作業系統 Haiku 中的彙編已經建立。
- 新增了對 clamd 的檢查,檢查是否存在透過 TemporaryDirectory 指令在 clamd.conf 檔案中指定的暫存檔案的目錄。如果缺少此目錄,該進程現在將退出並出現錯誤。
- 在 CMake 中設定靜態函式庫的建置時,請確保安裝 libclamav 中使用的靜態函式庫 libclamav_rust、libclammspack、libclamunrar_iface 和 libclamunrar。
- 為已編譯的 Python 腳本 (.pyc) 實作了檔案類型檢測。檔案類型以字串參數 CL_TYPE_PYTHON_COMPILED 的形式傳遞,在 clcb_pre_cache、clcb_pre_scan 和 clcb_file_inspection 函數中支援。
- 改進了對使用空白密碼解密 PDF 文件的支援。
同時產生了ClamAV 1.2.2和1.0.5更新,修復了影響分支0.104、0.105、1.0、1.1和1.2的兩個漏洞:
- CVE-2024-20328 - 由於執行「VirusEvent」指令時出現錯誤,在 clamd 中進行檔案掃描期間可能出現命令替換,因此該指令用於在偵測到病毒時執行任意命令。利用該漏洞的詳細資訊尚未披露;所知道的只是透過停用對 VirusEvent 字串格式化參數「%f」的支援(該參數被替換為受感染檔案的名稱)來解決該問題。
顯然,攻擊歸結為傳輸受感染檔案的專門設計名稱,其中包含在執行 VirusEvent 中指定的命令時無法轉義的特殊字元。值得注意的是,類似的漏洞已於 2004 年修復,並且還刪除了對「%f」替換的支持,隨後在 ClamAV 0.104 版本中恢復了該漏洞,並導致舊漏洞再次出現。在舊漏洞中,要在病毒掃描期間執行命令,您只需建立一個名為「;」的檔案。 mkdir own」並將病毒測試簽名寫入其中。
- CVE-2024-20290 是 OLE2 檔案解析程式碼中的緩衝區溢出,未經身份驗證的遠端攻擊者可能會利用它來導致拒絕服務(掃描過程崩潰)。該問題是由於內容掃描期間不正確的行尾檢查導致的,導致從緩衝區邊界之外的區域進行讀取。
來源: opennet.ru