URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 67333
[ Назад ]

Исходное сообщение
"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"

Отправлено opennews , 25-Май-10 17:02 
Вышел (http://lurker.clamav.net/message/20100519.150330.91387f9d.en...) корректирующий релиз свободного антивирусного пакета ClamAV 0.96.1 (http://www.clamav.net/) в котором  исправлено (http://git.clamav.net/gitweb?p=clamav-devel.git;a=blob_plain...) 68 ошибок из которых можно отметить решение проблемы с блокировкой файлов на платформе FreeBSD и исправления, направленные на улучшение поддержки сборки с использованием LLVM/Clang.


Кроме того, в новой версии исправлено две уязвимости (http://secunia.com/advisories/39895/), который могли привести к краху процесса clamd при проверке определенным образом оформленных PDF и PE файлов.


URL: http://lurker.clamav.net/message/20100519.150330.91387f9d.en...
Новость: http://www.opennet.me/opennews/art.shtml?num=26720


Содержание

Сообщения в этом обсуждении
"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 25-Май-10 17:02 
странно, под фрей в портах уже давно была

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено PereresusNeVlezaetBuggy , 25-Май-10 17:18 
>странно, под фрей в портах уже давно была

Иногда проги не анонсируют сразу при физическом наличии релизных файлов, так как они могут поменяться — тестирование, однако. Зато потом, при выходе новой версии, можно авторитетно говорить о поддержке таких-то платформ. :)


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено hizel , 25-Май-10 20:36 
не путайте версию порта и версию приложения

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 26-Май-10 00:12 
а вы сами посмотрели, прежде чем писать?

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 26-Май-10 06:30 
19 May 2010 17:15:57
   0.96.1

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено gofrom , 26-Май-10 12:17 
просто новость не актуальна

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Антон , 26-Май-10 13:02 
>просто новость не актуальна

Какая разница когда вышел релиз ClamAV 0.96.1, важно когда сообщили, что в нем есть уязвимости. Разработчики ClamAV не имеют привычки писать об уязвимостях или хотябы выделять их в ченджлоге. Поэтому после выхода релиза воспринимаешь его как минорный, а оказывается там критические дыры молча поправили.


"Запрашивает Миша Рыцаревъ"
Отправлено ua9oas , 25-Май-10 17:54 
  Интересно, а насколько это повысит конкурентноспособность с платными антивирусами? А какова она сейчас? Что в ClamAV следует улучшить и исправить еще? Можно ли обновления антивирусных баз других производителей интегрировать в ClamAV  ? Еще я слышал, что намного эффективней, когда используют одновременно несколько безплатных антивирусов (есть умельцы, которые заставляют их между собой не конфликтовать). А этот- достигнет ли когда возможностей не хуже дорогих платных?

"Запрашивает Миша Рыцаревъ"
Отправлено xfs , 25-Май-10 18:23 
>Что в ClamAV следует улучшить и исправить еще?

Движок. Чтобы он не проверял большой .avi файл побайтово.

>Можно ли обновления антивирусных баз других производителей интегрировать в ClamAV

Никто такое не позволит сделать. Хотя, если бы он присоединялся к базе Касперского и Доктора Вэба, было бы классно :)


"Запрашивает Миша Рыцаревъ"
Отправлено Aleksey , 25-Май-10 18:53 
1) Да ни насколько. Он и до этого был в портах FreeBSD и все его использовали.
2) Разница приблизительно как между Мерседесом и Автовазом, т.е. работает, находит очень много вирусов, но не более того.
3) Скорость обработки не очень большая, производители платных антивирусов могу себе позволить разрабатывать антивирусные мониторы, GUI для домашних пользователей, обновлять базы в течении нескольких часов, встраивать возможности IDS в продукт и многое другое. Соответственно используя ClamAV вы будете иметь только командную строку для проверки файлов на диске.
4) Это вообще нельзя делать
5) ClamAV единственный антивирус, который можно использовать без ограничений для коммерческих целей (т.е. например проверять почту в своей организации). Все остальные бесплатный только для домашних пользователей. Самое главное не количество антивирусов, а база вирусов, которую они знают. KAV на данный момент занимает большую часть рынка, а поэтому владеет самой крупной базой вирусов. Насколько я помню первая тройка по распространенности вообще не предлагает что-то бесплатное и полнофункциональное (но тут я могу ошибаться).

"Запрашивает Миша Рыцаревъ"
Отправлено PereresusNeVlezaetBuggy , 25-Май-10 19:06 
>KAV на данный момент занимает большую часть рынка,
>а поэтому владеет самой крупной базой вирусов. Насколько я помню первая
>тройка по распространенности вообще не предлагает что-то бесплатное и полнофункциональное (но
>тут я могу ошибаться).

Вот ведь мозги промыли людям… KAV — составил себе имя, но не более того. Количество вирусов в базах — ещё та фикция: кто-то считает две данные разновидности вирусни одним вирусом, а кто-то разными. Не говоря о том, что сейчас вирусы всё больше и больше умнеют, и поэтому всё большее значение получают эвристические анализаторы. ClamAV, увы, в этом плане полный швах.


"Запрашивает Миша Рыцаревъ"
Отправлено anonymous , 25-Май-10 19:25 
>сейчас вирусы всё больше и больше умнеют, и поэтому всё большее значение получают эвристические анализаторы. ClamAV, увы, в этом плане полный швах.

Угу. Волшебные основаные на принципе "тебе повезет!" алгоритмы это круть. Эвристические.

- Чу, что это? По моему этот байт подозрительный. Я чувствую потоки энергии сгущаются в области 3-го бита. А это что, команда условного перехода? Нет, обознался, торсионное возмущение слабое, это вряд ли вирус. Отойдите от меня, да вот вы молодой человек, ваша аура негативно влияет на мой божественный эвристический анализ.


"Запрашивает Миша Рыцаревъ"
Отправлено PereresusNeVlezaetBuggy , 25-Май-10 19:42 
>>сейчас вирусы всё больше и больше умнеют, и поэтому всё большее значение получают эвристические анализаторы. ClamAV, увы, в этом плане полный швах.
>
>Угу. Волшебные основаные на принципе "тебе повезет!" алгоритмы это круть. Эвристические.
>
>- Чу, что это? По моему этот байт подозрительный. Я чувствую потоки
>энергии сгущаются в области 3-го бита. А это что, команда условного
>перехода? Нет, обознался, торсионное возмущение слабое, это вряд ли вирус. Отойдите
>от меня, да вот вы молодой человек, ваша аура негативно влияет
>на мой божественный эвристический анализ.

Есть эвристики и есть эвристики. Большая часть эвристиков в современных антивирусах обманывается простейшими манипуляциями с GetProcAddress() и lea. Качественные, вроде того же Dr.Web, ловят многих неизвестных наглецов, хотя, конечно, не всех. Впрочем, чего я рассказываю, сами погуглите результаты толковых испытаний антивирусов.

А ClamAV — безусловно, много лучше, чем ничего, но для качественной защиты приходится немножко разоряться.


"Запрашивает Миша Рыцаревъ"
Отправлено User294 , 25-Май-10 20:41 
>простейшими манипуляциями с GetProcAddress() и lea.

Чаще кульсракеры берут просто какойнить пакер похитрее и пореже. Просто, думать не надо и вся эвристика идет лесом в момент. А уж если не дай боже малварина хоть чуть-чуть кастомизирована и перебилжена - ну я вообще ни одного случая поимки такого эвристиками почему-то в последнее ремя не видел.

>Качественные, вроде того же Dr.Web,

Качественные. Ха. У меня этот качественный грохался на безобидном тарболе с сорсами. Выжрав вагон оперативы и уйму места в темпе на диске, укладывая всю систему на раз (когда в системе кончится оператива или место в темповом разделе - начинается уйма веселых приключений). Саппорт на багрепорт забил. Наверное недостаточно крутой баг, etc :D.

>ловят многих неизвестных наглецов, хотя, конечно, не всех.

Почем-то мизерно модифицированного пинча (известного любому кулхаксору школьного возраста и дальше) задавленного довольно известным упаковщиком FSG эвристика ни у одного антивиря не словила. Если это не достаточно очевидный пример для эвристика то может его носом надо тыкать в этот крап как котенка?

>Впрочем, чего я рассказываю, сами погуглите результаты толковых испытаний антивирусов.

Лично меня не подводил никогда только один инструментарий - глаза и мозг. А потом задолбало бояться и я просто свалил на более другие системы где софт ставится более человеческими методами и вирусам и троянам взяться как-то особо и неоткуда стало.

>А ClamAV — безусловно, много лучше, чем ничего, но для качественной защиты
>приходится немножко разоряться.

Кстати базы у кламава довольно придирчивые. Он даже на хактулы бухтит, хоть они и не вирусы и даже не факт что приносят проблемы. А самой качественной защитой мне кажется переход с винды на *никсы + отучивание качать софт пополам с троянами неизвестно откуда. Половина вареза нынче не только является халявой но и юзает халявщиков как халявный ботнет, etc. Тоже халява, только для других.


"Запрашивает Миша Рыцаревъ"
Отправлено PereresusNeVlezaetBuggy , 26-Май-10 09:22 
>>простейшими манипуляциями с GetProcAddress() и lea.
>
>Чаще кульсракеры берут просто какойнить пакер похитрее и пореже. Просто, думать не
>надо и вся эвристика идет лесом в момент. А уж если
>не дай боже малварина хоть чуть-чуть кастомизирована и перебилжена - ну
>я вообще ни одного случая поимки такого эвристиками почему-то в последнее
>ремя не видел.

Хех, иначе бы смысла во всех этих упаковщиках особого и не было. ;)

>>А ClamAV — безусловно, много лучше, чем ничего, но для качественной защиты
>>приходится немножко разоряться.
>
>Кстати базы у кламава довольно придирчивые. Он даже на хактулы бухтит, хоть
>они и не вирусы и даже не факт что приносят проблемы.

Правда, к поимке собственно вирусов это отношения не имеет. ;) Эдак я туда могу занести сигнатуры excel97.exe… ;)

>А самой качественной защитой мне кажется переход с винды на *никсы
>+ отучивание качать софт пополам с троянами неизвестно откуда. Половина вареза
>нынче не только является халявой но и юзает халявщиков как халявный
>ботнет, etc. Тоже халява, только для других.

Да кто ж спорит… Но коммунизмъ ещё не скоро победитъ. ;)


"Запрашивает Миша Рыцаревъ"
Отправлено User294 , 26-Май-10 12:30 
>Хех, иначе бы смысла во всех этих упаковщиках особого и не было. ;)

FSG не так уж редко используется по прямому назначению - упаковка файла для снижения размера. Он достаточно популярен для того чтобы анпакер оного был даже в clamav. Он совершенно не проблемный в распаковке.

>Правда, к поимке собственно вирусов это отношения не имеет. ;)

Ну, к поимке не всегда желательных или не совсем доверяемых файлов которые в принципе могут содержать и какой-то иной функционал кроме заявленного - имеет. Некоторое.

>Эдак я туда могу занести сигнатуры excel97.exe… ;)

Может быть это даже и не плохо - построить некроманов с древним необновляемым экселем который в силу того что дыры никто не патчит по сути еще одна дыра в системе. Откроет лопух "специально сформированный XLS" и будет у него чудное малваре в системе...

>Да кто ж спорит… Но коммунизмъ ещё не скоро победитъ. ;)

Да просто у "проклятых капиталистов" все как-то еще более жопновато. Заниматься вместо работы вытрясанием из систем малвари как-то не айс :)


"Запрашивает Миша Рыцаревъ"
Отправлено Frank , 26-Май-10 11:55 
> для качественной защиты приходится немножко разоряться.

Скорее наоборот, для качественной защиты надо не покупать платные продукты, начиная с винды и заканчивая антивирусами ;)


"Запрашивает Миша Рыцаревъ"
Отправлено PereresusNeVlezaetBuggy , 26-Май-10 13:03 
>> для качественной защиты приходится немножко разоряться.
>
>Скорее наоборот, для качественной защиты надо не покупать платные продукты, начиная с
>винды и заканчивая антивирусами ;)

К сожалению, приходится покупать, т.к. некоторый софт (в том числе относящийся, ха-ха, к обеспечению безопасности) работает только под виндой. :(


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 25-Май-10 19:28 
>KAV на данный момент занимает большую часть рынка, а поэтому владеет самой крупной базой вирусов.

ЛОЖЬ! У Symantec.
Количество сигнатур - не показатель качества.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Alexey , 25-Май-10 19:48 
Из десятка вирусов которые я отослал ClamAV только KAV (из всего списка антивирусов) нашел их все. Проверял здесь: http://virusscan.jotti.org/ru

P.S.: судя по списку на сайте действительно Symantec там нету, возможно у них тоже все бы было хорошо.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено _Nec , 25-Май-10 21:07 
>Из десятка вирусов которые я отослал ClamAV только KAV (из всего списка
>антивирусов) нашел их все. Проверял здесь: http://virusscan.jotti.org/ru
>
>P.S.: судя по списку на сайте действительно Symantec там нету, возможно у
>них тоже все бы было хорошо.

Из 15 моих 1 ClamAV нашёл, а KAV нет - хотя это было год назад, сейчас наверно уже оба находят :)
P.S. пользуй - http://www.virustotal.com , под 40 разных антивирусов и Symantec там есть.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено makky , 26-Май-10 01:18 
Так легко хаить.

Я владелец нескольких достаточно больших сетей под управлением KAV  и DRWEB.. Вот KAV сделан явно лучше в серверной части, а разработчики DRWEB, несмотря на более сильную поддержку unix-like, видно курят и сильно курят.

По уровню выявления - каспер опять впереди, и это первенство держится уже пару лет, несмотря что я был противником KAV. Сомнительные машины проверяем вебом и прочими - понимаю, что не панацея, но "прочие" не ловят ничего. Сейчас могу сказать, что по статистике KAV однозначно рулит.

Это не отменяет работу clamav на наших прокси и почте, но тем не менее.. Ребят вы когда гоните, гоните по теме...


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено PereresusNeVlezaetBuggy , 26-Май-10 10:02 
>[оверквотинг удален]
>
>
>По уровню выявления - каспер опять впереди, и это первенство держится уже
>пару лет, несмотря что я был противником KAV. Сомнительные машины проверяем
>вебом и прочими - понимаю, что не панацея, но "прочие" не
>ловят ничего. Сейчас могу сказать, что по статистике KAV однозначно рулит.
>
>
>Это не отменяет работу clamav на наших прокси и почте, но тем
>не менее.. Ребят вы когда гоните, гоните по теме...

Спасибо за комментарий! У нас-то в конторе Каспера давно выгнали из-за тормозов и глюков… Нортон живёт и кое-как ловит — в качестве энтерпрайзной системы он хорош.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено makky , 26-Май-10 01:27 
Забыл добавить, что сервера под никс у каспера нет, а вот доктер тут рулит однозначно. Возникает вопрос: как сравнивать далее?

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено PereresusNeVlezaetBuggy , 26-Май-10 12:59 
>А да-да... У нас как раз нортона выгнали по этим же причинам.
>Насчет тормозов - вы его настраивать пробовали или из коробки поставили
>и нажали красную кнопку "СДЕЛАТЬ ХОРОШО ВСЕМ"...

Настраивал, да и сопровождаю его сейчас не я, так что рассказать особо нечего; разве только то, что у юзеров к нему доступа нет, и уж тем паче не могут его отключить. Несколько раз — да, были и из-за него глюки. Но по крайней мере легко лечились. В общем, зло, но терпимое, с обязанностями кое-как справляется. Перестанет — будем искать замену, я лично давно к McAffey присматриваюсь, но пощупать вживую их энтерпрайз пока не доводилось…


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Ph.D. , 27-Май-10 03:51 
Ыкперт ё! Зайди на сайт каспера - он врёт когда предлагает купить линукс версии?

Скажу тебе больше, Ыксперт - в одном из самых популярных anti-spam appliance - FreeBSD 6 и каспер, как дефолт анти-вир. (по выбору можно макафи)... ну и ещё много чего :)


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 26-Май-10 17:54 
makky, а что про Авиру скажете?
На мой взгляд и взгляд AV-comparatives она лучшая.

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено makky , 26-Май-10 19:04 
>makky, а что про Авиру скажете?
>На мой взгляд и взгляд AV-comparatives она лучшая.

Про полноценную авиру ничего не могу сказать, но от фриварной избавлял офис из 10 машин около недельки. При её работе у меня сложилось ощущение, что как будто антивируса просто не было! Тоже самое касается аваста. Да я не рассматриваю их как законченный продукт, т.к. нет сервера управления (незнаю как у авиры). Если сеть больше 7 машин, то уже стоит задуматься о сервере управления.

Mcafee мы ставили (правда давно достаточно) не понравилось. Как-то уж больно они замудренно все сделали. Да и вообще, я в последнее время убеждаюсь все больше, что рунет - это одни вирусы, сеть в других странах - другие. Хотя черт его знает, может попадало так просто.

На самом деле тема холиварно-утопическая. Одиноко стоящий антивирус - это не панацея от угроз, потому что он всегда отстающий. Вместе с антивирусом должны быть развернуты службы следящие за своевременными апдейтами всего комплекса ПО, фаирволы, необходимо следить за правами в сети и на клиентах.

Каспер как и дрвеб вполне сносно справляются и имеют нормальную поддержку, если проблемы какие возникают. Сервер у каспера сделан более грамотно и удобно в сравнении с дрвебом. Зато у веба более сильная поддержка unix-like.

Все сказанное было проверено на парке примерно в 350 машин. Конторы, в которых проверялось, занимаются совершенно разными вещами, так что некая объективность есть. Единственно, что всегда вместе в антивирусами трудились различные службы, не позволяющие просто так что-то сделать на клиентских машинах и большая часть вирусов ещё на подходе отсекалась.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено PereresusNeVlezaetBuggy , 26-Май-10 19:11 
>>makky, а что про Авиру скажете?
>>На мой взгляд и взгляд AV-comparatives она лучшая.
>
>Про полноценную авиру ничего не могу сказать, но от фриварной избавлял офис
>из 10 машин около недельки. При её работе у меня сложилось
>ощущение, что как будто антивируса просто не было! Тоже самое касается
>аваста.

У Аваста неплохая база и умение не надоедать, а делать свою работу — ставить его на комп знакомым блондинкам одно удовольствие… Но вот проскакивать мимо него всякая дрянь проскакивает порой, это да. :( Надеюсь, в 5-й версии что-то поменялось, поживём-увидим.

> Да я не рассматриваю их как законченный продукт, т.к. нет
>сервера управления (незнаю как у авиры). Если сеть больше 7 машин,
>то уже стоит задуматься о сервере управления.

Разумеется, домашние системы и ынтырпрайз — вещи разные.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено makky , 26-Май-10 20:51 
>У Аваста неплохая база и умение не надоедать, а делать свою работу
>— ставить его на комп знакомым блондинкам одно удовольствие… Но вот
>проскакивать мимо него всякая дрянь проскакивает порой, это да. :( Надеюсь,
>в 5-й версии что-то поменялось, поживём-увидим.
>

Я ещё не видел не зараженного компа, где работал аваст. Поставил блондинке, через парочку месяцев проверь каким-нить cureit! от drweb и порадуйся =)


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено PereresusNeVlezaetBuggy , 26-Май-10 21:09 
>>У Аваста неплохая база и умение не надоедать, а делать свою работу
>>— ставить его на комп знакомым блондинкам одно удовольствие… Но вот
>>проскакивать мимо него всякая дрянь проскакивает порой, это да. :( Надеюсь,
>>в 5-й версии что-то поменялось, поживём-увидим.
>>
>
>Я ещё не видел не зараженного компа, где работал аваст. Поставил блондинке,
>через парочку месяцев проверь каким-нить cureit! от drweb и порадуйся =)

Дык проверяю, ессесно, ну и ручками через Autoruns да Device Manager гуляю… От какого-нибудь современного TDSS это, может, и не спасёт, но его можно вычислить по косвенному признаку в виде таинственным образом воскресающей заразы. :) А так, да, CureIt иногда чего-то находит, иногда нет. Аваст же просто стоит иногда прогонять полностью по дискам, в режиме запуска до остальной системы — вычищает практически всё, что пролетает мимо монитора (в смысле, его программы-монитора, а не той железки, в которую юзер уставился в этот момент).


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 26-Май-10 19:17 
McAfee отличная штука для винды
тормозов гораздо меньше чем при каспере и ловит практически всё. Корпоративку не видел в глаза.

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено makky , 26-Май-10 20:52 
>McAfee отличная штука для винды
>тормозов гораздо меньше чем при каспере и ловит практически всё. Корпоративку не
>видел в глаза.

2 года назад было ужасно, сейчас может что-то и изменилось.


"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено Аноним , 27-Май-10 13:50 
@makky
Спасибо за ответы. Про "Да и вообще, я в последнее время убеждаюсь все больше, что рунет - это одни вирусы, сеть в других странах - другие. Хотя черт его знает, может попадало так просто." полностью согласен. Тоже такое замечал.
350 машин - это серьезно. Пока что у меня на 10 стоит  Авира Классик. Все работают под ограниченными пользователями под офтопиком. Народ дисциплинированный, возможно поэтому еще пока я с ними беды не знал. Периодисчески на всякий случай все равно сканирую из-под Dr.Web LiveCD и процессы, сервисы, автозагрузку смотрю Autoruns, Process Explorer. Спасибо еще раз, буду собирать свою статистику:)

"Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей"
Отправлено makky , 28-Май-10 00:45 
>[оверквотинг удален]
> Спасибо за ответы. Про "Да и вообще, я в последнее время
>убеждаюсь все больше, что рунет - это одни вирусы, сеть в
>других странах - другие. Хотя черт его знает, может попадало так
>просто." полностью согласен. Тоже такое замечал.
>350 машин - это серьезно. Пока что у меня на 10 стоит
> Авира Классик. Все работают под ограниченными пользователями под офтопиком. Народ
>дисциплинированный, возможно поэтому еще пока я с ними беды не знал.
>Периодисчески на всякий случай все равно сканирую из-под Dr.Web LiveCD и
>процессы, сервисы, автозагрузку смотрю Autoruns, Process Explorer. Спасибо еще раз, буду
>собирать свою статистику:)

Пишите, если смогу чем-то помочь - буду рад. 10 машин и у меня когда-то было, и это тоже серьезно. Частенько 10 трудяг гораздо сильнее сотни тупорыликов.