Tag ClamAV

ClamAV 1.3 es la nueva versión del antivirus publicado como software libre (GPLv2) y que ofrece soporte multiplataforma al abarcar oficialmente Linux, Windows y macOS. En esta ocasión, y aunque sorprenda, la novedad más destacada va dirigida a Microsoft, a la cual acompañan nuevas opciones y posibilidades.

Siguiendo el anuncio oficial y lo que hemos expuesto, empezamos con la incorporación de “soporte para extraer y escanear archivos adjuntos que se encuentran en la sección de ficheros de Microsoft OneNote. El análisis de OneNote estará habilitado de forma predeterminada, pero opcionalmente se puede inhabilitar” siguiendo algunas opciones que abarcan la línea de configuración y ficheros de configuración.

La segunda novedad mencionada de ClamAV 1.3 es la corrección de un problema que aparecía cuando se compilaba el antivirus en Haiku y sistemas tipo BeOS. Haiku es uno de los proyectos más prometedores entre los sistemas operativos para escritorio que son publicados como código abierto, pero el hecho de emplear la permisiva licencia MIT despierta las susceptibilidades de algunos.

A partir de ahora el daemon (clamd) verificará en el inicio si existe el directorio especificado por TemporaryDirectory en el fichero de configuración clamd.conf. En caso de no ser así, el daemon imprimirá un mensaje de error y se cerrará con el código de salida 1. Por otro lado, se ha añadido la capacidad de reconocer el tipo de fichero que consiste en Python compilado (.pyc) y el soporte para descifrar PDF con contraseñas vacías ha sido mejorado.

Otra cosa importante es que, en caso de configurar para compilar bibliotecas estáticas, CMake instalará a partir de ahora las bibliotecas estáticas libclamav_rust, libclammspack, libclamunrar_iface y libclamunrar requeridas por libclamav.

De entre las correcciones tenemos todavía más refinamiento para el descifrado de ficheros PDF con contraseñas vacías, la de un warning que saltaba cuando se escaneaban algunos ficheros HTML, para un problema cuando se compilaba ClamAV en formato RPM en algunas configuraciones, la solución de un problema relacionado con la impresión de MaxScanSize cuando su valor superaba los 4GB, además de otra corrección para un posible cuelgue cuando se procesaban ficheros de Visual Basic for Applications (VBA) sobre HP-UX/IA de 64-bit.

Todos los detalles sobre ClamAV 1.3 están publicados en el anuncio oficial, mientras que el antivirus puede ser obtenido para Linux (Deb y RPM), macOS y Windows a partir de la sección de descargas del sitio web oficial. También han sido publicadas las versiones 1.2.2 y 1.0.5 con dos fallos de seguridad corregidos.

Fuente: www.muylinux.com

ClamAV 1.0 ha sido publicada como la primera versión “redonda” de este antivirus que es software libre (GPLv2) y multiplataforma. Este lanzamiento sorprende un poco si tenemos en cuenta que se trata de un desarrollo muy veterano con dos décadas a sus espaldas, pero, por otro lado, tampoco es que estas situaciones sean raras de ver en el mundo del FLOSS.

La primera versión de ClamAV en ver la luz fue la 0.01 en el año 2002. No se trata de una solución antimalware tradicional, sino que más bien es un “kit de herramientas antivirus diseñado especialmente para escanear correo electrónico en puertas de enlace de correo. Proporciona una serie de utilidades que incluyen un demonio de subprocesos múltiples flexible y escalable, un escáner de línea de comandos y una herramienta avanzada para las actualizaciones automáticas de las bases de datos. El núcleo del paquete es un motor antivirus disponible en forma de biblioteca compartida”. Solo tiene soporte de detección en tiempo real en Linux.

Continuando con la historia, ClamAV fue adquirido en 2007 por Sourcefire, que se hizo con la marca y los copyrights del producto, aunque el código fuente del software siguió publicado bajo la licencia GPLv2 (esto se puede comparar con lo que pasa con RHEL y los clones de este). Años después, en 2013, Sourcefire fue adquirida por Cisco, así que ClamAV pertenece a esta última desde entonces, aunque por suerte mateniendo la licencia GPLv2.

Ahora sí, vamos a mencionar las novedades de ClamAV 1.0. Para empezar, está el soporte para descifrar ficheros XLS basados en OLE2 de solo lectura que fueron cifrados con la clave predeterminada. El uso de la clave por defecto aparecerá a partir de ahora en los metadatos de JSON.

La característica o el modo all-match, que se encarga de continuar escaneando dentro de una coincidencia (fichero) para hallar más coincidencias, ha sido reescrita con un nuevo código que es más confiable y fácil de mantener. Por otro lado, se han agregado varios casos de prueba para verificar el comportamiento correcto de todas las coincidencias.

Continuando con más cosas del modo all-match, está la habilitación de las firmas de reconocimiento de tipo de archivo incrustadas para que coincidan cuando una firma de malware también coincidió en un escaneo de la misma capa, la habilitación de las firmas de bytecode en modo all-match después de producirse una coincidencia, además de haberse corregido algunos problemas con el uso del modo all-match.

Otra novedad interesante de ClamAV 1.0 es la incorporación de una nueva devolución de llamada (callback) en la API pública para inspeccionar el contenido de un fichero durante un proceso de escaneo en una capa de extracción del archivo, la cual se encuentra definida en clamv.h.

Para terminar con lo más importante de este lanzamiento, se ha agregado una nueva función a la API pública para desempaquetar archivos de firmas CVD, la opción de compilar con una biblioteca TomsFastMath externa ha sido eliminada (un cambio sin el cual la base de datos y la validación del certificado de autenticación EXE/DLL de Windows pueden fallar), además de un Dockerfile y unos scripts de soporte movidos del repositorio principal de ClamAV a otro nuevo con el fin de facilitar la actualización de las imágenes y la resolución de los problemas.

Todos los detalles sobre ClamAV 1.0 están publicados en el anuncio oficial, mientras que el antivirus puede ser obtenido para Linux (Deb y RPM), macOS y Windows a partir de la sección de descargas del sitio web oficial.

Fuente: www.muylinux.com