Релиз антивирусного пакета ClamAV 0.96.3 с исправлением уязвимости

25.09.2010 08:49

Вышел корректирующий релиз свободного антивирусного пакета ClamAV 0.96.3 в котором внесено 26 изменений. В представленном обновлении устранена опасная уязвимость во встроенном распаковщике сжатых данных в формате bzip2, позволяющая добиться выполнения кода при проверке специально подготовленного файла. Также отмечается исправление ряда проблем в PDF-парсере, которые, судя по всему, также могут привести к проблемам безопасности (исправлена ошибка проверки на допустимость границ параметров).

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/28070-clamav

Ключевые слова: clamav, virus

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (41)

1.1, ua9oas (?), 14:08, 25/09/2010 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Интересно, а на каком месте по эффективности он стоит по отношению к своим коммерческим аналогам? А если он им перестанет уступать то тогда может ли это сбить цены на этом рынке?

2.3, svchost (ok), 17:02, 25/09/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Сигнатуры там отличные, а вот движок крайне сырой, медленный. Например, .avi файл он проверяет тупо читая его от начала до конца.

3.4, ононим (?), 17:07, 25/09/2010 [^] [^^] [^^^] [ответить]	–1 +/–
это известный тролль с глупыми вопросами. пора уже запомнить, что он просто издевается.

2.5, User294 (ok), 18:31, 25/09/2010 [^] [^^] [^^^] [ответить]	+5 +/–
Фиг вам, как платили так и будете платить под своей виндой. За файрволы, антивирусы, антиспайварь и какой там еще антигеморрой :). И что характерно - сколько ни заплати, а ничего сравнимого по функционалу с айпитаблесом под винду ... нет.

3.6, Аноним (-), 11:24, 26/09/2010 [^] [^^] [^^^] [ответить]	–2 +/–
Иногда лучше жевать - чем говорить. Хотя тебе лишний раз ламерские (да да - не чайниковские, а ламерские - ибо желания изучать вопрос у тебя нету) ipfw for win32 будет получше чем кривые iptables.

4.7, Ян Злобин (ok), 11:46, 26/09/2010 [^] [^^] [^^^] [ответить]	+/–
>...ipfw for win32 Это что еще за изврат такой?

4.8, Xaionaro (ok), 12:32, 26/09/2010 [^] [^^] [^^^] [ответить]	–6 +/–
Судя по описанию, это аналог ipfw из FreeBSD. Дак вот FreeBSD-шный ipfw - это самый убогий фаерволл под unix-системами с которым я только сталкивался :). Чрезвычайно медленный, всё в одной таблице, прилагаемые средства для NAT-ирования вообще съедают весь CPU при прохождении всего 30Mibps на достаточно нехилом компьютере для роутера, да и к тому же ничерта не умеет (если сравнивать, например, с iptables). Единственное почему я иногда использую ipfw, это потому что через него осуществляется работа с DUMMYNET. Но это лично моё скромное мнение о нём. Самым мощным фаерволлом на мой взгляд является iptables, а под *BSD надо использовать pf.

5.12, reinhard (ok), 18:15, 26/09/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Вызывающе неверная информация. Если делать NAT через ng_nat или ipfw nat проц будет жраться как минимум не больше, чем под pf.

6.14, Xaionaro (ok), 19:23, 26/09/2010 [^] [^^] [^^^] [ответить]

+/–

>Вызывающе неверная информация.
>Если делать NAT через ng_nat или ipfw nat проц будет жраться как
>минимум не больше, чем под pf.

Хм, не припомню этого ng_nat на FreeBSD5, где я из-за тормознутости natd я был вынужден полюбить сначала ipnat, а потом собственно pf. Извиняюсь, если мои текущие знания уже не актуальны. Но даже данная поправка не меняет того, что единственным плюсом ipfw является лишь то, что освоиться в нём чрезвычайно просто, а в остальном одни минусы. Ещё раз подчеркну, что это всё лишь по моему скромному мнению.

Притом, natd - был не единственной причиной перехода на pf. Был другой роутер, который не занимался NAT-ированием, зато выполнял множество других функций firewall-а. Тоже при определённом потоке перестал справляться, как стоило бы. При переходе на pf, заставив его выполнять те же функции, проблема изчезла. Но тут я согласен, что пример некорректен :)

P.S. Вообще мой начальный пост был направлен против фразы "кривой iptables", когда на замену представили "ipfw". Я извиняюсь, если дал слишком большую волю эмоциям. Да, я не люблю ipfw, но был не прав высказав это таким образом. Просто я не встречал более мощного firewall-а чем iptables, зато встречал множество людей, которые его не осилили и поэтому на него ругались.

7.18, reinhard (ok), 11:10, 27/09/2010 [^] [^^] [^^^] [ответить]

+/–

>Хм, не припомню этого ng_nat на FreeBSD5, где я из-за тормознутости natd
>я был вынужден полюбить сначала ipnat, а потом собственно pf.

ng_nat действительно появился в 6.0. До этого, да, только ipnat/pf для ната на уровне ядра.

>Но даже данная поправка
>не меняет того, что единственным плюсом ipfw является лишь то, что
>освоиться в нём чрезвычайно просто,

Это уже немало :-)

>Просто я не встречал более мощного firewall-а чем
>iptables, зато встречал множество людей, которые его не осилили и поэтому
>на него ругались.

Возможно, это так...
Просто у меня пока не возникало потребностей, где бы можно было использовать мощь iptables, а порог вхождения действительно высоковат...
Если поделитесь примерами, что на ipfw решить невозможно/сложно, а на iptables возможно/проще, буду благодарен. Без иронии.

8.26, Xaionaro (ok), 22:08, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
gt оверквотинг удален _IMHO_, если освоиться с iptables, с ним работать намног... текст свёрнут, показать

9.28, reinhard (ok), 07:06, 28/09/2010 [^] [^^] [^^^] [ответить]	+/–
Да вроде, можно ipfw count log потом syslog через syslog conf запускает ск... текст свёрнут, показать

10.30, Xaionaro (ok), 09:04, 28/09/2010 [^] [^^] [^^^] [ответить]	+/–
Ну дак я же говорил про реализацию на уровне фаерволла, а продложенное вами рабо... большой текст свёрнут, показать

11.31, reinhard (ok), 10:34, 28/09/2010 [^] [^^] [^^^] [ответить]	+/–
Кажется Только еще более костыльной мне кажется сама идея порт-кнокинга - Про... текст свёрнут, показать

12.32, Xaionaro (ok), 18:36, 28/09/2010 [^] [^^] [^^^] [ответить]	+/–
Ну, я portknocking применяю только для обхода случайного бана Т е когда настра... текст свёрнут, показать

13.33, reinhard (ok), 12:49, 29/09/2010 [^] [^^] [^^^] [ответить]	+/–
После того, как я перевешал sshd на другой порт, проблема распухания лога от пер... текст свёрнут, показать

14.34, Xaionaro (ok), 00:20, 30/09/2010 [^] [^^] [^^^] [ответить]	+/–
Я вообще-то не про брут-форс, а про безопасную настройку фаерволла т е чтобы s... большой текст свёрнут, показать

15.35, reinhard (ok), 12:54, 30/09/2010 [^] [^^] [^^^] [ответить]	+/–
Если накосячить с настройкой фаервола, то и порт-кнокинг не поможет А если фаер... текст свёрнут, показать

16.36, Xaionaro (ok), 18:52, 30/09/2010 [^] [^^] [^^^] [ответить]	+/–
Ну почему, просто держишь в правилах фаерволла в начале port-knocking, а потом в... большой текст свёрнут, показать

17.37, reinhard (ok), 11:35, 07/10/2010 [^] [^^] [^^^] [ответить]	+/–
И любой залетный дятел со сканером портов отключает весь фаерволл на раз-два От... текст свёрнут, показать

18.38, Xaionaro (ok), 09:44, 09/10/2010 [^] [^^] [^^^] [ответить]	+/–
Во-первых не весь фаерволл, а только один порт и только для одного клиента Во-в... большой текст свёрнут, показать

19.39, reinhard (ok), 07:55, 10/10/2010 [^] [^^] [^^^] [ответить]	+/–
Охотно верю Но возникают следующие вопросы 1 Оправдано ли такое усложнение в ... текст свёрнут, показать

20.40, Xaionaro (ok), 17:42, 10/10/2010 [^] [^^] [^^^] [ответить]	+/–
Ну есть готовая связки - копипасти сколько угодно Кому как удобнее Не логичнее... текст свёрнут, показать

21.41, reinhard (ok), 09:48, 11/10/2010 [^] [^^] [^^^] [ответить]	+/–
Да я понимаю Но вот сам алгоритм раз в час на двадцать секунд и т п что-то... большой текст свёрнут, показать

6.19, Pbl6a (?), 11:31, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
Бесполезно, ему явно уже ничего не поможет. Тем более судя по его посту он просто не осилил прочитать в мане о несовместимости либалиаса с TSO. :)

7.27, Xaionaro (ok), 22:32, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
>Бесполезно, ему явно уже ничего не поможет. >Тем более судя по его посту он просто не осилил прочитать в >мане о несовместимости либалиаса с TSO. :) Хорошая гипотеза, но ошибочная. Я гуглил и спрашивал знакомых на эту тему, советовали отключить TSO, и хорошего результата так и не добился. Просто машинка была не такая мощная, чтобы заниматься NAT-ированием в user-space.

6.20, User294 (ok), 18:28, 27/09/2010 [^] [^^] [^^^] [ответить]

+1 +/–

>Если делать NAT через ng_nat или ipfw nat проц будет жраться как
>минимум не больше, чем под pf.

Блин, покажите все это на win32? Очень интересно посмотреть на такой изврат :)

7.29, reinhard (ok), 07:08, 28/09/2010 [^] [^^] [^^^] [ответить]	+/–
> Блин, покажите все это на win32? Очень интересно посмотреть на такой изврат > :) Под win32 это никто и не обещал. И вообще, была портирована только утилита для настройки вендового фаервола, а не сам фаервол.

4.17, Аноним (-), 10:36, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
ipfw for win32 будет получше чем кривые iptables ------ Как-то помню хотел по-быстрому прикрутить ipfw win32 как файрвол на входящих dialup соединениях для доступа в локальную сетку, так оказалось что он не может работать с транзитными пакетами(т.е. которые форвардятся). ИМХО у ipfw win32 возможности слишком убогие, чтоб сравнивать его с iptables.

4.21, User294 (ok), 18:35, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
>ipfw for win32 будет получше чем кривые iptables. Я на него когда-то смотрел когда искал приличный фаер - кривой он какой-то и глючный был. Порт был явно недопиленный. Сами таким и пользуйтесь а я для себя предпочту по возможности более нормальную систему и айпитаблес, который работает и умеет все что мне когда либо хотелось/требовалось от фаера и намного больше.

3.15, Онон (?), 07:49, 27/09/2010 [^] [^^] [^^^] [ответить]	–1 +/–
Вот только iptables там не хватало. Это как самокат с квадратными колесами и кучей расбросанных в разных местах мануалов о том как закруглить колеса, где смазать и как менять покрышки. Лучше уже ipfw или pf.

4.22, User294 (ok), 18:43, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
>колеса, где смазать и как менять покрышки. Лучше уже ipfw или pf. Ну, ipfw вроде как даже есть. Только мне не понравился ни разу - насколько я помню, работал криво/странно/глючно, будучи явно недопиленным когда я на него смотрел.

3.16, Александр (??), 10:01, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
Начнем с того, что firewall любого рода (именно firewall) никак не поможет бороться с вирусней. Тем более нынче авторы вирусов все больше изощряются. Ну и конечно, любой вирусописатель будет только счастлив встретить владельца компа, который верит, что файрволл вирусы не пропускает :)

4.23, User294 (ok), 20:56, 27/09/2010 [^] [^^] [^^^] [ответить]

+/–

>Начнем с того, что firewall любого рода (именно firewall) никак не поможет
>бороться с вирусней.

Почему же. Привожу контрпример: винды и мсбласт. На некоторые такие машины апдейты затыкающие дыру удавалось слить только после установки фаера, т.к. иначе винда вылетала по ошибке сервиса быстрее чем сливались апдейты. Что очень доставляло юзерам, надо сказать - при входе в интернет через считанные секунды система вылетает с ошибкой и пользоваться интернетом невозможно вообще :)

>Тем более нынче авторы вирусов все больше изощряются.

Факт. Но все-таки уменьшить последствия атаки или предотвратить некоторые типы атак может как раз файрвол. Поэтому юзать винды без фаервола - достаточно ссыкотно. А если допустим троян запустился но застрял на фаере и не смог пароли слить - атака отбита, не? А уж убитый пакет с мсбластом и вовсе откровенно отбивание вирья в прямом смысле слова :)

>Ну и конечно, любой вирусописатель будет только счастлив встретить владельца компа,
>который верит, что файрволл вирусы не пропускает :)

Самое интересное что данный спич вполне себе валиден для самоходной заразы по типу мсбласта - там файрвол действительно это самое :). Разумеется это еще не гарантия что другие типы вирусов и троянов не пролезут.

2.11, супербот (?), 14:30, 26/09/2010 [^] [^^] [^^^] [ответить]

+/–

>на каком месте по эффективности он стоит по отношению к своим коммерческим аналогам?

Он там и рядом не валялся. Винлоки не ловит (только очень старючие), про новые супер-шняги типа Confikera вообще речь не идет...

Поделие...

Что ты хочешь, ведь базы обновляют сами пользователи :) Оперативность черепаховая :)

3.13, reinhard (ok), 18:19, 26/09/2010 [^] [^^] [^^^] [ответить]

+/–

>Он там и рядом не валялся. Винлоки не ловит (только очень старючие),

Так их и Касперский и Дрвеб, как правило, не ловят достаточно долго.
Справедливости ради, скажу, что по моему мнению, оперативность добавления сигнатур в clamav упала в последние годы. Но вот раньше, вирусы появлялись в нем зачастую быстрее, чем в коммерческих аналогах. Особенно те, что ходили по E-Mail

4.25, User294 (ok), 21:01, 27/09/2010 [^] [^^] [^^^] [ответить]	+1 +/–
>Так их и Касперский и Дрвеб, как правило, не ловят достаточно долго. Более того - почему-то чтобы они начали ловит - заразу кто-то должен заметить и прислать. Исключением может быть разве что абстрактная ситуация когда антивирусописатели сами выпускают вирус заранее занеся его в свою базу :)

3.24, User294 (ok), 20:59, 27/09/2010 [^] [^^] [^^^] [ответить]	+/–
>Что ты хочешь, ведь базы обновляют сами пользователи :) Оперативность черепаховая :) Ага, только почему-то я касперу слал на анализ штуки которые он не ловит. Каспера тоже в поделия запишем? Ну тогда все антивирусы делятся на слабаков, бесполезняшки-имитаторы и поделия :)))

1.2, paulus (ok), 15:01, 25/09/2010 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
не собьет он цены, бесплатных антивирусов под винду, которые под линукс (для десктопа) стали делать целая куча и на цены это не влияет.

2.9, Andrey Mitrofanov (?), 13:28, 26/09/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Война-то уж давно кончилась, а раненных, не прочитавших Столмана и путающих свободное с бесплатным, всё везут и везут... :/ ...а свобода всегда стоит дороже, чем бесплатные кандалы.

1.10, Аноним (-), 14:01, 26/09/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
оно уже умеет убивать на лету обновления для винды?

Добавить комментарий

Текст: