Компания Cisco выпустила свободный антивирусный пакет ClamAV 0.105

Компания Cisco представила новый значительный выпуск свободного антивирусного пакета ClamAV 0.105.0, а также опубликовала корректирующие выпуски ClamAV 0.104.3 и 0.103.6 с исправлением уязвимостей и ошибок. Напомним, что проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2.

Ключевые улучшения в ClamAV 0.105:

  • В число обязательных для сборки зависимостей включён компилятор для языка Rust. Для сборки требуется как минимум версия Rust 1.56. Необходимые библиотеки-зависимости на языке Rust включены в основной состав пакета ClamAV.

  • Переписан на языке Rust код для инкрементального обновления архива БД (CDIFF). Новая реализация позволила значительно ускорить применение обновлений, удаляющих большое число сигнатур из базы. Это первый модуль, переписанный на Rust.

  • Увеличены установленные по умолчанию значения лимитов:
    • MaxScanSize: 100M › 400M
    • MaxFileSize: 25M › 100M
    • StreamMaxLength: 25M › 100M
    • PCREMaxFileSize: 25M › 100M
    • MaxEmbeddedPE: 10M › 40M
    • MaxHTMLNormalize: 10M › 40M
    • MaxScriptNormalize: 5M › 20M
    • MaxHTMLNoTags: 2M › 8M

    • Максимальный размер строки в файлах конфигурации freshclam.conf и clamd.conf повышен с 512 до 1024 символов (при указании токенов доступа параметр DatabaseMirror мог превышать 512 байт).

  • Для определения изображений, используемых для фишинга или при распространении вредоносного ПО, реализована поддержка нового вида логических сигнатур, в которых используется метод нечёткого хэширования (fuzzy hashing), позволяющий выявлять похожие объекты с определённой степенью вероятности. Для генерации нечёткого хэша для изображения можно использовать команду «sigtool --fuzzy-img».
  • В ClamScan и ClamDScan встроена возможность сканирования памяти процессов. Данная возможность перенесена из пакета ClamWin и специфична для платформы Windows. В ClamScan и ClamDScan на платформе Windows добавлены опции »--memory»,»--kill» и »--unload».

  • Обновлены runtime-компоненты для выполнения байткода, основанные на LLVM. Для увеличения производительности сканирования по сравнению с предлагаемым по умолчанию интерпретатором байткода предложен режим JIT-компиляции. Прекращена поддержка старых версий LLVM, для работы теперь можно использовать версии LLVM c 8 по 12.

  • В Clamd добавлена настройка GenerateMetadataJson, эквивалентная опции »--gen-json» в clamscan и приводящая к записи в файл metadata.json метаданных о ходе сканирования в формате JSON.

  • Предоставлена возможность сборки с использованием внешней библиотеки TomsFastMath (libtfm), включаемой при помощи опций »-D ENABLE_EXTERNAL_TOMSFASTMATH=ON»,»-D TomsFastMath_INCLUDE_DIR=‹path›» и »-D TomsFastMath_LIBRARY=‹path›». Входящая в поставку копия библиотеки TomsFastMath обновлена до версии 0.13.1.

  • В утилите Freshclam улучшено поведение при обработке таймаута ReceiveTimeout, который теперь обрывает только зависшие загрузки и не прерывает активные медленные загрузки с передачей данных по плохим каналам связи.

  • Добавлена поддержка сборки ClamdTop с использованием библиотеки ncursesw в случае отсутствия ncurses.

  • Устранены уязвимости:
    • CVE-2022–20803 — двойное освобождение памяти в парсере файлов OLE2.
    • CVE-2022–20770 — бесконечное зацикливание в парсере файлов CHM.
    • CVE-2022–20796 — аварийное завершение из-за разыменования нулевого указателя в коде проверки кэша.
    • CVE-2022–20771 — бесконечное зацикливание в парсере файлов TIFF.
    • CVE-2022–20785 — утечка памяти в парсере HTML и нормализаторе Javascript.
    • CVE-2022–20792 — переполнение буфера в модуле загрузки базы сигнатур.



Источник: http://www.opennet.ru/opennews/art.shtml? num=57133

© OpenNet