跨平台开源安全软件 ClamAV 1.1 发布，新特性公布

作者：Sender Su 来源：原创内容发布日期：2023-05-03 最后修改日期：2023-05-03

2022年5月1日，开发人员发布了跨平台的开源安全软件：反病毒/反恶意软件解决方案 ClamAV 1.1。这是继2022年11月 ClamAV 1.0 LTS 这一长期支持版之后的第一个主要的新版本。注意ClamAV版本号中的第三位是修正版本号，比如之前介绍过的1.0.1。

ClamAV 该软件目前由思科公司的Talos团队和开源社区共同开发。有关ClamAV的历史可以看看之前写的文章：Linux恶意代码防范必备ClamAV的发展历程。这文章当时的标题写得不对，ClamAV虽然是从Linux环境开始，但早已经是跨平台支持Windows和MacOS的。

下载地址：

https://github.com/Cisco-Talos/clamav/releases/tag/clamav-1.1.0

ClamAV 1.1的新功能特性包括：

能够提取以BASE64编码方式嵌入在HTML CSS style 标记定义的样式块中的图像并进行检测，进一步减少了病毒或恶意软件逃避检测的可能性；

为使sigtool工具能和 libclamav 从微软Office文档提取VBA代码的结果一致而更新了sigtool，减少了二义性且优化了sigtool能输出规范化后的VBA代码。

为ClamScan和ClamD新增了命令行参数，--fail-if-cvd-older-than=days，即如果检测特征库老于指定的天数则在启动时直接退出并报告失败，返回非零代码。这样可以避免使用一直没有更新的检测特征库，从而使得安全管理员误以为检测不到异常是正常的检测结果。该选项也可以用 FailIfCvdOlderThan 这个参数名字加入到clamd.conf。

ClamAV的功能函数库 libclamav 新增API功能函数 cl_cvdgetage()。此API函数可以返回以秒为单位的在检测特征库目录中最年轻的文件的年龄，或指定的单个CVD/CLD文件的年龄。

ClamAV的功能函数库 libclamav 新增API功能函数 cl_engine_set_clcb_vba()。使用此函数可以设置一个cb_vba回调函数，每当从Office文档中提取VBA时，就会运行该指定的回调函数，并向该函数提供经过规范化后的VBA代码。添加这个回调是为了支持更新的Sigtool，以便它可以使用与ClamAV扫描文档时相同的VBA提取逻辑。

其它更新包括：

改善了ClamAV Windows版本MSI安装包的更新功能，也即ClamAV 1.1版本的Windows MSI安装包现在能主动找到和更新没有安装在默认位置的ClamAV1.0.x版本。

Sigtool增加了使用 -tempdir 命令行参数更改临时目录位置的功能，并增加了通过 --leave-temps 命令行参数保留Sigtool创建的临时文件的功能。

删除了CVE-2004-0597的硬编码警报。CVE已经足够老了，它不再是一种威胁，检测结果偶尔会出现假阳性。

改善了 ClamOnAcc 处理过程的日志输出内容以便更好地进行BUG诊断。

代码和构建的更新包括：

删除了现有的TomsFastMath库，以便使用OpenSSL来执行“大数字”/多精度数学操作。

对构建系统的一些修正，涉及到Rust，Python等跨语言支持。

修复了编译时的警告。

BUG修正包括：

修正了无效的 ExcludePUA / --exclude-pua 功能，若干功能实现逻辑的bug，以及一些其它代码上的漏洞，类型包括包括栈溢出、堆溢出、释放后使用、下标越界等。

最后是提醒：