The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Компания Cisco выпустила антивирусный пакет ClamAV 1.3.0 и устранила опасную уязвимость

08.02.2024 12:17

После шести месяцев разработки компания Cisco опубликовала выпуск свободного антивирусного пакета ClamAV 1.3.0. Проект перешёл в руки Cisco в 2013 году после покупки компании Sourcefire, развивающей ClamAV и Snort. Код проекта распространяется под лицензией GPLv2. Ветка 1.3.0 отнесена к категории обычных (не LTS), обновления к которым публикуются как минимум в течение 4 месяцев после выхода первого релиза следующей ветки. Возможность загрузки базы сигнатур для не-LTS веток также обеспечивается как минимум ещё 4 месяца после выпуска следующей ветки.

Ключевые улучшения в ClamAV 1.3:

  • Добавлена поддержка извлечения и проверки вложений, используемых в файлах Microsoft OneNote. Разбор формата OneNote включён по умолчанию, но при желании может быть отключён при помощи настройки "ScanOneNote no" в clamd.conf, указании опции командной строки "--scan-onenote=no" при запуске утилиты clamscan или добавления флага CL_SCAN_PARSE_ONENOTE в параметр options.parse при использовании libclamav.
  • Налажена сборка ClamAV в BeOS-подобной операционной системе Haiku.
  • В clamd добавлена проверка существования каталога для временных файлов, указанного в файле clamd.conf через директиву TemporaryDirectory. При отсутствии данного каталога процесс теперь завершается с выводом ошибки.
  • При настройке сборки статических библиотек в CMake, обеспечена установка статических библиотек libclamav_rust, libclammspack, libclamunrar_iface и libclamunrar, применяемых в libclamav.
  • Реализовано определение типа файла для скомпилированных Python-сценариев (.pyc). Тип файла передаётся в форме строкового параметра CL_TYPE_PYTHON_COMPILED, поддерживаемого в функциях clcb_pre_cache, clcb_pre_scan и clcb_file_inspection.
  • Улучшена поддержка расшифровки PDF-документов с пустым паролем.

Одновременно сформированы обновления ClamAV 1.2.2 и 1.0.5, в которых устранены две уязвимости, затрагивающие ветки 0.104, 0.105, 1.0, 1.1 и 1.2:

  • CVE-2024-20328 - возможность подстановки команд в процессе проверки файлов в clamd из-за ошибки в реализации директивы "VirusEvent", применяемой для запуска произвольной команды в случае обнаружения вируса. Детали эксплуатации уязвимости пока не раскрываются, известно только то, что проблема устранена через отключение поддержки в VirusEvent параметра форматирования строки '%f', который заменялся на имя инфицированного файла.

    Cудя по всему, атака сводится к передаче специально оформленного имени заражённого файла, содержащего спецсимволы не экранируемые при запуске команды, указанной в VirusEvent. Примечательно, что похожую уязвимость уже устраняли в 2004 году и также удалением поддержки подстановки '%f', которая затем была возвращена в выпуске ClamAV 0.104 и привела к возрождению старой уязвимости. В старой уязвимости для выполнения своей команды во время проверки на вирусы достаточно было создать файл с именем "; mkdir owned" и записать в него тестовую сигнатуру вируса.

  • CVE-2024-20290 - переполнение буфера в коде разбора файлов с содержимым в формате OLE2, которое удалённый неаутентифицированный атакующий может использовать для отказа в обслуживании (аварийное завершения процесса сканирования). Проблема вызвана некорректной проверкой конца строки во время сканирования содержимого, приводящей к чтению из области вне границы буфера.


  1. Главная ссылка к новости (https://blog.clamav.net/2023/1...)
  2. OpenNews: Компания Cisco выпустила свободный антивирусный пакет ClamAV 1.2.0
  3. OpenNews: Большинство антивирусов оказались подвержены атаке через символические ссылки
  4. OpenNews: В антивирусе McAfee для Linux выявлена удалённая root-уязвимость
  5. OpenNews: Представлена программа по привлечению сообщества к созданию вирусных сигнатур для ClamAV
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/60569-clamav
Ключевые слова: clamav, virus
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (42) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:19, 08/02/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +7 +/
     
     
  • 2.4, Аноним (4), 12:24, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.7, penetrator (?), 12:48, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
     
    Часть нити удалена модератором

  • 4.17, Zenitur (ok), 13:43, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 5.19, Анонимов Аноним Анонимович (?), 13:47, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.21, Zenitur (ok), 13:54, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • –3 +/
     
     
  • 7.27, Анонимов Аноним Анонимович (?), 14:34, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 8.54, Zenitur (ok), 13:50, 09/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.31, n00by (ok), 15:25, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 6.34, Аноним (34), 15:31, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.37, Анонимов Аноним Анонимович (?), 15:42, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 5.20, Аноним (20), 13:49, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 6.22, Zenitur (ok), 13:55, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 7.23, Аноним (20), 14:01, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • –1 +/
     
     
  • 8.24, Zenitur (ok), 14:08, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 8.26, Аноним (26), 14:31, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.32, _oleg_ (ok), 15:26, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 7.33, _oleg_ (ok), 15:28, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 8.35, Mr.Who (?), 15:39, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
     
  • 9.39, _oleg_ (ok), 15:49, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     

     ....ответы скрыты (19)

  • 1.2, гоквч (?), 12:21, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Скоро поймает обратно.
     
  • 1.6, ryoken (ok), 12:38, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >> Налажена сборка ClamAV в BeOS-подобной операционной системе Haiku.

    Cisco

    Кому оно там надо?

     
     
  • 2.49, abomy (?), 23:34, 08/02/2024 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
  • 2.52, 128557 (?), 11:58, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кому Вы вообще надо?
     

  • 1.8, Фрик из соседней пещеры (?), 12:48, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Между прочим AVG в Wine наладили.D
     
  • 1.9, Golangdev (?), 12:54, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > устранила опасную уязвимость

    Очень опасная ?)

     
  • 1.13, RocketShark (?), 13:09, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Налажена сборка ClamAV в BeOS-подобной операционной системе Haiku.

    Это что же получается... Сама Циска пилит продукт для Хайку? Ну, это уже серьёзная заявка на победу! Мои поздравления команде разработчиков!

     
     
  • 2.28, хрю (?), 14:46, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Команду Хайку дала patch и те его применили в основную ветку. Как и всегда и везде.
     

  • 1.25, IdeaFix (ok), 14:16, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём новой версии с возвращением '%f'
     
  • 1.29, anonymous (??), 14:52, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лучше бы компания cisco занялась Chez Scheme.
     
     
  • 2.47, Вы забыли заполнить поле Name (?), 19:28, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там кроме разраба из racket никто ничего не делает.

    Да и вообще, с чего он нужен cisco?

     

  • 1.36, Аноним (36), 15:41, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А эти как их, базы сигнатур вирусов под лицензией гну, нет?
     
     
  • 2.42, Аноним (42), 17:02, 08/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    обновился до 1.3.0
    сигнатуры обновились
     

  • 1.44, Аноним (44), 18:28, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Без ржавчины можно сабж собрать? Мне для чебурнета, чтоб в офлайне собирался.
     
  • 1.46, Аноним (46), 19:04, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "поддержка расшифровки PDF-документов с пустым паролем"

    ахренеть...

     
     
  • 2.50, Аноним (-), 05:08, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то там написано "Улучшена поддержка..."
     

  • 1.48, YetAnotherOnanym (ok), 21:05, 08/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто использует, подскажите, оно всё так же без сторонних баз ничего не ловит? А то я как-то давно не соприкасался.
     
     
  • 2.51, Аноним (51), 05:45, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    оно и со сторонними то не очень
     
     
  • 3.55, YetAnotherOnanym (ok), 14:37, 09/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно. Печально.
     

  • 1.53, Аноним (53), 13:17, 09/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а что посоветуете в качестве замены clamav?
    каков мейнстрим?
     
     
  • 2.56, dfc (?), 13:50, 10/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот мне тоже интересно, в прошлый раз мне советовали какие-то веб-сервисы
     
  • 2.57, пох. (?), 11:56, 12/02/2024 [^] [^^] [^^^] [ответить]  
  • +/
    дык, мэйнстрим у нас - антивирус шпион-капитана Касперского.

    Правда, недешево обойдется - зато скрепно, импортозамещенно, и все проклятые пиндосы его боятцо!

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру