The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз антивирусного пакета ClamAV 0.96.3 с исправлением уязвимости

25.09.2010 08:49

Вышел корректирующий релиз свободного антивирусного пакета ClamAV 0.96.3 в котором внесено 26 изменений. В представленном обновлении устранена опасная уязвимость во встроенном распаковщике сжатых данных в формате bzip2, позволяющая добиться выполнения кода при проверке специально подготовленного файла. Также отмечается исправление ряда проблем в PDF-парсере, которые, судя по всему, также могут привести к проблемам безопасности (исправлена ошибка проверки на допустимость границ параметров).

  1. Главная ссылка к новости (http://lurker.clamav.net/messa...)
  2. OpenNews: Устройство интерпретатора байткода в ClamAV, базирующегося на LLVM
  3. OpenNews: Новая версия свободного антивирусного пакета ClamAV 0.96.2
  4. OpenNews: Новая версия ClamAV 0.96.1 с исправлением DoS-уязвимостей
  5. OpenNews: Критические уязвимости в ClamAV
  6. OpenNews: Релиз свободного антивирусного пакета ClamAV 0.96
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/28070-clamav
Ключевые слова: clamav, virus
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ua9oas (?), 14:08, 25/09/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Интересно, а на каком месте по эффективности он стоит по отношению к своим коммерческим аналогам? А если он им перестанет уступать то тогда может ли это сбить цены на этом рынке?
     
     
  • 2.3, svchost (ok), 17:02, 25/09/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Сигнатуры там отличные, а вот движок крайне сырой, медленный. Например, .avi файл он проверяет тупо читая его от начала до конца.
     
     
  • 3.4, ононим (?), 17:07, 25/09/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это известный тролль с глупыми вопросами. пора уже запомнить, что он просто издевается.
     
  • 2.5, User294 (ok), 18:31, 25/09/2010 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Фиг вам, как платили так и будете платить под своей виндой. За файрволы, антивирусы, антиспайварь и какой там еще антигеморрой :). И что характерно - сколько ни заплати, а ничего сравнимого по функционалу с айпитаблесом под винду ... нет.
     
     
  • 3.6, Аноним (-), 11:24, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Иногда лучше жевать - чем говорить. Хотя тебе лишний раз ламерские (да да - не чайниковские, а ламерские - ибо желания изучать вопрос у тебя нету)

    ipfw for win32 будет получше чем кривые iptables.

     
     
  • 4.7, Ян Злобин (ok), 11:46, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >...ipfw for win32

    Это что еще за изврат такой?

     
  • 4.8, Xaionaro (ok), 12:32, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • –6 +/
    Судя по описанию, это аналог ipfw из FreeBSD. Дак вот FreeBSD-шный ipfw - это самый убогий фаерволл под unix-системами с которым я только сталкивался :). Чрезвычайно медленный, всё в одной таблице, прилагаемые средства для NAT-ирования вообще съедают весь CPU при прохождении всего 30Mibps на достаточно нехилом компьютере для роутера, да и к тому же ничерта не умеет (если сравнивать, например, с iptables). Единственное почему я иногда использую ipfw, это потому что через него осуществляется работа с DUMMYNET.

    Но это лично моё скромное мнение о нём. Самым мощным фаерволлом на мой взгляд является iptables, а под *BSD надо использовать pf.

     
     
  • 5.12, reinhard (ok), 18:15, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вызывающе неверная информация.
    Если делать NAT через ng_nat или ipfw nat проц будет жраться как минимум не больше, чем под pf.
     
     
  • 6.14, Xaionaro (ok), 19:23, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Вызывающе неверная информация.
    >Если делать NAT через ng_nat или ipfw nat проц будет жраться как
    >минимум не больше, чем под pf.

    Хм, не припомню этого ng_nat на FreeBSD5, где я из-за тормознутости natd я был вынужден полюбить сначала ipnat, а потом собственно pf. Извиняюсь, если мои текущие знания уже не актуальны. Но даже данная поправка не меняет того, что единственным плюсом ipfw является лишь то, что освоиться в нём чрезвычайно просто, а в остальном одни минусы. Ещё раз подчеркну, что это всё лишь по моему скромному мнению.

    Притом, natd - был не единственной причиной перехода на pf. Был другой роутер, который не занимался NAT-ированием, зато выполнял множество других функций firewall-а. Тоже при определённом потоке перестал справляться, как стоило бы. При переходе на pf, заставив его выполнять те же функции, проблема изчезла. Но тут я согласен, что пример некорректен :)

    P.S. Вообще мой начальный пост был направлен против фразы "кривой iptables", когда на замену представили "ipfw". Я извиняюсь, если дал слишком большую волю эмоциям. Да, я не люблю ipfw, но был не прав высказав это таким образом. Просто я не встречал более мощного firewall-а чем iptables, зато встречал множество людей, которые его не осилили и поэтому на него ругались.

     
     
  • 7.18, reinhard (ok), 11:10, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Хм, не припомню этого ng_nat на FreeBSD5, где я из-за тормознутости natd
    >я был вынужден полюбить сначала ipnat, а потом собственно pf.

    ng_nat действительно появился в 6.0. До этого, да, только ipnat/pf для ната на уровне ядра.

    >Но даже данная поправка
    >не меняет того, что единственным плюсом ipfw является лишь то, что
    >освоиться в нём чрезвычайно просто,

    Это уже немало :-)

    >Просто я не встречал более мощного firewall-а чем
    >iptables, зато встречал множество людей, которые его не осилили и поэтому
    >на него ругались.

    Возможно, это так...
    Просто у меня пока не возникало потребностей, где бы можно было использовать мощь iptables, а порог вхождения действительно высоковат...
    Если поделитесь примерами, что на ipfw решить невозможно/сложно, а на iptables возможно/проще, буду благодарен. Без иронии.

     
     
  • 8.26, Xaionaro (ok), 22:08, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален _IMHO_, если освоиться с iptables, с ним работать намног... текст свёрнут, показать
     
     
  • 9.28, reinhard (ok), 07:06, 28/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да вроде, можно ipfw count log потом syslog через syslog conf запускает ск... текст свёрнут, показать
     
     
  • 10.30, Xaionaro (ok), 09:04, 28/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дак я же говорил про реализацию на уровне фаерволла, а продложенное вами рабо... большой текст свёрнут, показать
     
     
  • 11.31, reinhard (ok), 10:34, 28/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Кажется Только еще более костыльной мне кажется сама идея порт-кнокинга - Про... текст свёрнут, показать
     
     
  • 12.32, Xaionaro (ok), 18:36, 28/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, я portknocking применяю только для обхода случайного бана Т е когда настра... текст свёрнут, показать
     
     
  • 13.33, reinhard (ok), 12:49, 29/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    После того, как я перевешал sshd на другой порт, проблема распухания лога от пер... текст свёрнут, показать
     
     
  • 14.34, Xaionaro (ok), 00:20, 30/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще-то не про брут-форс, а про безопасную настройку фаерволла т е чтобы s... большой текст свёрнут, показать
     
     
  • 15.35, reinhard (ok), 12:54, 30/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Если накосячить с настройкой фаервола, то и порт-кнокинг не поможет А если фаер... текст свёрнут, показать
     
     
  • 16.36, Xaionaro (ok), 18:52, 30/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну почему, просто держишь в правилах фаерволла в начале port-knocking, а потом в... большой текст свёрнут, показать
     
     
  • 17.37, reinhard (ok), 11:35, 07/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    И любой залетный дятел со сканером портов отключает весь фаерволл на раз-два От... текст свёрнут, показать
     
     
  • 18.38, Xaionaro (ok), 09:44, 09/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых не весь фаерволл, а только один порт и только для одного клиента Во-в... большой текст свёрнут, показать
     
     
  • 19.39, reinhard (ok), 07:55, 10/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Охотно верю Но возникают следующие вопросы 1 Оправдано ли такое усложнение в ... текст свёрнут, показать
     
     
  • 20.40, Xaionaro (ok), 17:42, 10/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну есть готовая связки - копипасти сколько угодно Кому как удобнее Не логичнее... текст свёрнут, показать
     
  • 21.41, reinhard (ok), 09:48, 11/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да я понимаю Но вот сам алгоритм раз в час на двадцать секунд и т п что-то... большой текст свёрнут, показать
     
  • 6.19, Pbl6a (?), 11:31, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Бесполезно, ему явно уже ничего не поможет.
    Тем более судя по его посту он просто не осилил прочитать в мане о несовместимости либалиаса с TSO. :)
     
     
  • 7.27, Xaionaro (ok), 22:32, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Бесполезно, ему явно уже ничего не поможет.
    >Тем более судя по его посту он просто не осилил прочитать в
    >мане о несовместимости либалиаса с TSO. :)

    Хорошая гипотеза, но ошибочная. Я гуглил и спрашивал знакомых на эту тему, советовали отключить TSO, и хорошего результата так и не добился. Просто машинка была не такая мощная, чтобы заниматься NAT-ированием в user-space.

     
  • 6.20, User294 (ok), 18:28, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Если делать NAT через ng_nat или ipfw nat проц будет жраться как
    >минимум не больше, чем под pf.

    Блин, покажите все это на win32? Очень интересно посмотреть на такой изврат :)

     
     
  • 7.29, reinhard (ok), 07:08, 28/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Блин, покажите все это на win32? Очень интересно посмотреть на такой изврат
    > :)

    Под win32 это никто и не обещал. И вообще, была портирована только утилита для настройки вендового фаервола, а не сам фаервол.

     
  • 4.17, Аноним (-), 10:36, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ipfw for win32 будет получше чем кривые iptables
    ------

    Как-то помню хотел по-быстрому прикрутить ipfw win32 как файрвол на входящих dialup соединениях для доступа в локальную сетку, так оказалось что он не может работать с транзитными пакетами(т.е. которые форвардятся). ИМХО у ipfw win32 возможности слишком убогие, чтоб сравнивать его с iptables.

     
  • 4.21, User294 (ok), 18:35, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >ipfw for win32 будет получше чем кривые iptables.

    Я на него когда-то смотрел когда искал приличный фаер - кривой он какой-то и глючный был. Порт был явно недопиленный. Сами таким и пользуйтесь а я для себя предпочту по возможности более нормальную систему и айпитаблес, который работает и умеет все что мне когда либо хотелось/требовалось от фаера и намного больше.

     
  • 3.15, Онон (?), 07:49, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот только iptables там не хватало. Это как самокат с квадратными колесами и кучей расбросанных в разных местах мануалов о том как закруглить колеса, где смазать и как менять покрышки. Лучше уже ipfw или pf.
     
     
  • 4.22, User294 (ok), 18:43, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >колеса, где смазать и как менять покрышки. Лучше уже ipfw или pf.

    Ну, ipfw вроде как даже есть. Только мне не понравился ни разу - насколько я помню, работал криво/странно/глючно, будучи явно недопиленным когда я на него смотрел.

     
  • 3.16, Александр (??), 10:01, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Начнем с того, что firewall любого рода (именно firewall) никак не поможет бороться с вирусней. Тем более нынче авторы вирусов все больше изощряются.

    Ну и конечно, любой вирусописатель будет только счастлив встретить владельца компа, который верит, что файрволл вирусы не пропускает :)

     
     
  • 4.23, User294 (ok), 20:56, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Начнем с того, что firewall любого рода (именно firewall) никак не поможет
    >бороться с вирусней.

    Почему же. Привожу контрпример: винды и мсбласт. На некоторые такие машины апдейты затыкающие дыру удавалось слить только после установки фаера, т.к. иначе винда вылетала по ошибке сервиса быстрее чем сливались апдейты. Что очень доставляло юзерам, надо сказать - при входе в интернет через считанные секунды система вылетает с ошибкой и пользоваться интернетом невозможно вообще :)

    >Тем более нынче авторы вирусов все больше изощряются.

    Факт. Но все-таки уменьшить последствия атаки или предотвратить некоторые типы атак может  как раз файрвол. Поэтому юзать винды без фаервола - достаточно ссыкотно. А если допустим троян запустился но застрял на фаере и не смог пароли слить - атака отбита, не? А уж убитый пакет с мсбластом и вовсе откровенно отбивание вирья в прямом смысле слова :)

    >Ну и конечно, любой вирусописатель будет только счастлив встретить владельца компа,
    >который верит, что файрволл вирусы не пропускает :)

    Самое интересное что данный спич вполне себе валиден для самоходной заразы по типу мсбласта - там файрвол действительно это самое :). Разумеется это еще не гарантия что другие типы вирусов и троянов не пролезут.

     
  • 2.11, супербот (?), 14:30, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >на каком месте по эффективности он стоит по отношению к своим коммерческим аналогам?

    Он там и рядом не валялся. Винлоки не ловит (только очень старючие), про новые супер-шняги типа Confikera вообще речь не идет...

    Поделие...

    Что ты хочешь, ведь базы обновляют сами пользователи :) Оперативность черепаховая :)

     
     
  • 3.13, reinhard (ok), 18:19, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Он там и рядом не валялся. Винлоки не ловит (только очень старючие),

    Так их и Касперский и Дрвеб, как правило, не ловят достаточно долго.
    Справедливости ради, скажу, что по моему мнению, оперативность добавления сигнатур в clamav упала в последние годы. Но вот раньше, вирусы появлялись в нем зачастую быстрее, чем в коммерческих аналогах. Особенно те, что ходили по E-Mail

     
     
  • 4.25, User294 (ok), 21:01, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Так их и Касперский и Дрвеб, как правило, не ловят достаточно долго.

    Более того - почему-то чтобы они начали ловит - заразу кто-то должен заметить и прислать. Исключением может быть разве что абстрактная ситуация когда антивирусописатели сами выпускают вирус заранее занеся его в свою базу :)

     
  • 3.24, User294 (ok), 20:59, 27/09/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Что ты хочешь, ведь базы обновляют сами пользователи :) Оперативность черепаховая :)

    Ага, только почему-то я касперу слал на анализ штуки которые он не ловит. Каспера тоже в поделия запишем? Ну тогда все антивирусы делятся на слабаков, бесполезняшки-имитаторы и поделия :)))

     

  • 1.2, paulus (ok), 15:01, 25/09/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    не собьет он цены, бесплатных антивирусов под винду, которые под линукс (для десктопа) стали делать целая куча и на цены это не влияет.
     
     
  • 2.9, Andrey Mitrofanov (?), 13:28, 26/09/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Война-то уж давно кончилась, а раненных, не прочитавших Столмана и путающих свободное с бесплатным, всё везут и везут... :/

    ...а свобода всегда стоит дороже, чем бесплатные кандалы.

     

  • 1.10, Аноним (-), 14:01, 26/09/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    оно уже умеет убивать на лету обновления для винды?
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру