URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115472
[ Назад ]
Исходное сообщение
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено opennews , 04-Окт-18 05:52 
Сформирован (https://blog.clamav.net/2018/10/clamav-01002-has-been-releas...) релиз свободного антивирусного пакета ClamAV 0.100.2, в котором устранены уязвимости:

-  CVE-2018-15378 - уязвимость в распаковщике данных в формате MEW, позволяет удалённо инициировать отказ в обслуживании;

-  Уязвимость в коде разбора файлов в формате PDF, которая может привести к чтению 2 байт из области вне границ буфера;
-   CVE-2018-14680 - уязвимость в библиотеке libmspack (https://www.cabextract.org.uk/libmspack/), позволяет обойти блокировку через указание пустого имени CHM-файла;
-  CVE-2018-14681 - уязвимость в библиотеке libmspack, позволяет осуществить переполнение буфера на два байта через подстановку файла KWAJ с некорректным заголовком;
-  CVE-2018-14682 - уязвимость в библиотеке libmspack, позволяет выйти за пределы буфера при распаковке файлов CHM.

URL: https://blog.clamav.net/2018/10/clamav-01002-has-been-releas...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49388

Содержание
Сообщения в этом обсуждении
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 05:52 
Антивирус хороший, но как лечить\удалять из гуя я не допер)
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено CHERTS , 04-Окт-18 07:12 
>>Антивирус хороший, но как лечить\удалять из гуя я не допер)

Вы шутите? В каком месте он хороший? Он не отлавливает и половины тех вирусов что существует. Какой толк от него? Ловить вирусню времен 90х годов или ту которой только школьники пользуются чтобы насолить училке?

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено iCat , 04-Окт-18 07:20 
ClamAV не является антивирусом для защиты рабочих станций, его основное назначение - работа на почтовых шлюзах, что накладывает определенный отпечаток на характеристики продукта.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 08:47 
Он и там из коробки ничего кроме eicar не ловит. Антивирус, может, и рабочий, но база сигнатур - полное говно. В итоге имеем набор "сделай сам" - сигнатуры самому на коленке клепать можно, но машужвать, всему ж есть пределы, даже в опенсорц...
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Catwoolfii , 04-Окт-18 09:51 
А что Вы можете сказать про clamav-unofficial-sigs? Интересуюсь из любопытства, сам не тестировал.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 10:51 
Ничего не могу сказать кроме того, что когда я пользовался кламавом, "из коробки" они тоже были недоступны. Значит, нужно было как-то догадаться, что они существуют, найти и прицепить. Последние два пункта особых вопросов не вызывают, но вот с первым сложнее, я впервые о них услышал от вас сейчас.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 11:51 
> нужно было как-то догадаться, что они существуют

+1
Когда я админил почтовик, у разрабов был заговор молчания о сторонних базах, в оф. документации о них не было ни слова.

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено dimqua , 04-Окт-18 10:36 
Наоборот же хорошо, что сигнатуры можно использовать какие захочешь.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 12:16 
Ловит. Вот например на днях зареджектили

Rtf.Exploit.CVE_2017_11882-6584355-0

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Rey , 12-Окт-18 03:10 
Так вот вопрос, когда эта сигнатура была добавлена.
Что-то свежее своими базами он не ловит. С clamav-unofficial-sigs еще что-то ловит, но больше спам. Касперский/сумантек ловит гораздо лучше :) Плюс кламава в добавлении своих сигнатур.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено CHERTS , 04-Окт-18 10:37 
Понятно дело, что в здравом уме никто не будет проверять им рабочие станции.
Но на почтовике он тоже ничего не ловит, а только жрет ресурсы.

В нынешних реалях никто вирусы как таковые почтой и не шлет (я про исполняемые бинарники в чистом виде). Здравый админ и безопасник настраивают почтовый сервер так, чтобы первым делом отклоняет все письма содержащие бинарные и исполняемые файлы - это стандарт де-факто. А во всяких Pdf, Doc и Xls ClamAV все равно не отлавливает современных зловредов. Тут уже нужно полагаться только на хороший антивирь на рабочей станции конечного юзера. Так что лично у меня нет антивиря на почтовых серверах, есть настроеная политика какие типы файлов разрешены, а дальше антивирус на рабочих станциях юзеров.

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено iCat , 04-Окт-18 07:22 
ClamAV - это первый рубеж антивирусной защиты инфраструктуры
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено вася пупкин , 04-Окт-18 08:17 
Ну да, посравнивайте с коммерческими. Делайте песочницу, ставьте пробники на месяц и все поймете
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 08:23 
Это теми коммерческими, которые «сэмплы» к себе в центр отправляют (зачастую с хедерами и body)? Или те, у которых false positives зашкаливают при передаче космического шума в файлах .img?
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено вася пупкин , 04-Окт-18 08:25 
лично мне важнее результат. не знаю как вам.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено вася пупкин , 04-Окт-18 08:29 
ну и плюс отправка в центр - да, составляющая. вопрос что отправляют. а это легко посмотреть )
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 09:31 
Ну так не платите тем, кто так делает и не позволяет это отключить.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено F , 04-Окт-18 10:49 
Да, бесплатный, но бесполезный - это лучше.

Может, просто отключить оба: и ресурсы целы, и вирусов ровно столько, сколько с ClamAV :)

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено iCat , 04-Окт-18 12:13 
> Да, бесплатный, но бесполезный - это лучше.
> Может, просто отключить оба: и ресурсы целы, и вирусов ровно столько, сколько
> с ClamAV :)

Админ локалхоста? Админ супердатацентра на 100500 стоек?

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено 15 , 04-Окт-18 15:02 
> Ну да, посравнивайте с коммерческими

Уже сравнивали... Давненько правда...

Microsoft Security Essentials ему слил :)

https://interface31.ru/tech_it/2012/12/naskolko-effektiven-c...

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Rey , 12-Окт-18 03:12 
Так раньше он и ловил лучше. Имхо "сливать" начал после перехода под циску.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено anonymous , 04-Окт-18 09:45 
А какие есть свободные антивирусы с хорошей, регулярно пополняемой, базой сигнатур?
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Catwoolfii , 04-Окт-18 09:49 
свободных нет, есть условно бесплатные
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено F , 04-Окт-18 10:50 
А чтобы для почтовика, под Linux?
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено PnDx , 04-Окт-18 11:31 
Всё то же: милтеры от drweb или kav. Ставятся на отдельный хост-песочницу в изолированном vlan без l7-гейтов, обновлялку отдельно, и удачи им сливать что угодно. Это для мелко-корпоративного, ввиду регулярного траха с лицензиями и ограниченности применения. Для крупняка есть всякие DPI|IDS/IPS за много денег сразу + подписка.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 15:15 
Comodo Antivirus
F-PROT for Linux Workstations
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Rey , 12-Окт-18 03:14 
Comodo обновляется с запозданием примерно в 2 недели, т.е. от актуального зловреда не спасет.
У F-PROT лицензия не для коммерческого использования.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено comodo , 05-Окт-18 00:26 
Comodo
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 12:33 
Так прекращаем гнобить clamav, есть yara движок и не оффициальные сигнатуры

https://github.com/Yara-Rules/rules

https://github.com/extremeshok/clamav-unofficial-sigs

"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено Аноним , 04-Окт-18 18:33 
Да, ClamAV 0.100.1 плоховат был - столько уязвимостей.
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено sposob , 05-Окт-18 03:20 
хм, еще кто-то пользуется "вирусами"?
"Выпуск свободного антивирусного пакета ClamAV 0.100.2 с устр..."
Отправлено nc , 05-Окт-18 20:12 
Не тот вирус, которым ты пользуешься, а тот вирус, который тобой пользуется!