ClamAV 1.5.1: frissítés PE- és ZIP-kezelési hibákra, jobb teljesítménnyel

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Az új ClamAV 1.5.1 verzió elsősorban teljesítményjavításokat és hibajavításokat hoz a korábbi 1.5.0-hoz képest, különös tekintettel a PE (Windows futtatható fájl) és ZIP archívumok vizsgálatára. Kis kodek- és metaadat-kezelési ügyek is javultak, emellett a verzió nem igényel új Rust fordítókörnyezetet, így az átállás viszonylag egyszerű. A ClamAV projekt célja, hogy nyílt forráskódú védelmi eszközként folyamatos fejlesztésekkel reagáljon a felmerülő fenyegetésekre. Az alábbiakban részletesen is bemutatjuk, mi változott, és milyen hatással lehet ez a gyakorlatra.

A frissítés háttere és célja

Miért jött ki a 1.5.1-es verzió?

A 1.5.1-es verzió egy viszonylag gyors javítás (patch) a 1.5.0 kiadás után, amelynek fő feladata, hogy orvosolja azokat a hibákat és teljesítményproblémákat, amelyek az előző változat során jelentkeztek. A fejlesztők szerint kiemelt cél volt a PE fájlok lassú vizsgálatának felgyorsítása, valamint az archívumkezelésből eredő „Heuristics.Limits.Exceeded.MaxFiles” riasztások csökkentése.

 Hogyan illeszthető be az új verzió?

A frissítéshez nincs szükség új Rust fordítóeszközre (Rust toolchain), így akinek már a 1.5.0 futott, számára az átállás nem jelent nagy fordítási terhet. A legfrissebb verzió elérhető a ClamAV letöltési oldalán és disztribúciós csomagként (DEB/RPM) is.

Milyen újdonságok és hibajavítások találhatók az 1.5.1-ben?

PE fájlok vizsgálatának optimalizálása

Az egyik legjelentősebb fejlesztés, hogy a verzió kiküszöböli azt a lassulást, amely bizonyos PE fájlok vizsgálata során jelentkezett. Ez különösen Windows futtatható állományok vizsgálatánál volt szembetűnő, és az új kiadás nagyobb hatékonyságot hoz.

ZIP archívumok okozta felesleges megszakítások kezelése

Korábban egyes mélyen beágyazott vagy túl nagyszámú fájlt tartalmazó ZIP archívumok esetén a “Heuristics.Limits.Exceeded.MaxFiles” riasztás miatt megszakadhatott a vizsgálat. A 1.5.1 javítja ezt, így ilyen esetekben nem történik indokolatlan megszakítás.

TNEF e-mail mellékletek gyorsabb kezelése

A TNEF (Transport Neutral Encapsulation Format) típusú mellékletek vizsgálata most optimalizáltabb, így kevesebb késleltetéssel dolgozik a rendszer ezekkel az e-mail formátumokkal.

Metaadat-kezelés és aláírások pontossága

Az új verzió javítja az OOXML dokumentumok metaadatainak rögzítését, valamint orvosolja a VBA-aláírások felismerésének pontatlanságait OLE2 konténerekben — ez különösen hasznos lehet dokumentum-alapú fenyegetések esetén.

Beágyazott fájlok felismerése és hamis pozitívok csökkentése

A ClamAV lazított néhány korlátozáson az beágyazott fájlok azonosításánál, és megnövelte a beágyazott PE fájl keresési határait. Ennek eredményeként kevesebb hamis riasztás lesz olyan esetekben, amikor a fájl szerkezete komplexebb.

További javítások, függőségek és könyvtárak frissítése

A kiadás továbbá orvosolja a RAR-ok beágyazásával kapcsolatos problémákat, frissíti a Rust függőségeket (fuzzy hashinggel kapcsolatos részek) és finomhangolja a belső számlálókat, valamint a fájl- és hash-műveletek pontosságát.

Milyen hatása van a frissítésnek?

Megbízhatóbb vizsgálat komplex fájlstruktúrák esetén

Olyan környezetekben, ahol sok ZIP vagy beágyazott állomány fordul elő (például levelezőszerverek, fájlmegosztók), az új verzió megbízhatóbban viselkedik, mivel kevesebb hibás megszakítás fordul elő.

Gyorsabb vizsgálat Windows-futtatható állományoknál

A PE fájlokra fókuszáló optimalizálás révén az új verzió gyorsabb lesz, ami különösen olyan rendszereknél fontos, ahol Windows futtatható fájlokat ellenőriznek Linux környezetben.

Kevesebb hamis riasztás → jobb üzemeltethetőség

Mivel csökkentik a túlságosan szigorú szabályzást az beágyazott fájlok felismerésénél, csökken a hamis pozitív események száma, ami üzemeltetői szempontból előnyös — nem kell felesleges vizsgálatokat indítani.

Egyszerűbb a frissítés, kisebb dev hátrány

Mivel nem kell új Rust fordítóeszköz (toolchain), a frissítés folyamata kevésbé bonyolult: sok meglévő infrastruktúra könnyedén átállhat az új verzióra.

Hogyan épül be a ClamAV az infrastruktúrába?

Használat Linux szervereken

A ClamAV gyakran működik daemon (szolgáltatás) módban clamd néven, és on-demand vizsgálatot végez clamscan vagy clamdscan segédprogramokkal. A freshclam gondoskodik az aláírásbázis automatikus frissítéséről.

Levélcsatornák védelme

Gyakori alkalmazási terület az e-mail átjárók (mail gateways) védelme: a ClamAV beépül a levelező rendszerekbe (pl. Postfix, Sendmail) úgy, hogy minden bejövő és kimenő e-mail mellékletet vizsgál. Ezáltal korán kiszűrhetők vírusok, trójaiak és rosszindulatú kódot tartalmazó fájlok.

Realtime (azonnali) vizsgálat

A ClamAV korábbi verziókban támogatta a fanotify alapú valós idejű vizsgálatot Linux rendszerek alatt, azonban az újabb konfigurációkhoz a ClamOnAcc (on-access scanning) bevezetése révén történik az azonnali fájl­ellenőrzés. Ez azonban alapértelmezésként „értesítéses módban” (notify-only mode) működik — megelőző mód bekapcsolása esetén viszont letilthatja a fájl-hozzáférést is, bár ez nagyobb rendszerterheléssel járhat.

Mire érdemes figyelni az átálláskor?

Frissítési stratégia

Ha már 1.5.0 fut, a 1.5.1-re való átállás viszonylag zökkenőmentes. Mégis ajánlott először tesztkörnyezetben kipróbálni olyan fájlokat és archívumokat, amelyek korábban problémát okoztak (nagyméretű ZIP-ek, beágyazott PE fájlok). Érdemes figyelni az új paraméterekkel és konfigurációs opciókkal (például adminisztratív parancsok letiltása, JSON metaadatok URI-gyűjtése) való kompatibilitásra.

Konfigurációs finomhangolás

Az új verzió lehetőséget nyújt arra, hogy bizonyos adminisztratív parancsokat letiltsunk, és hogy HTML vagy PDF fájlok URI-jait ne rögzítse a JSON metaadat. Ezeket a finomhangolásokat akkor érdemes alkalmazni, ha a rendszernek szigorú adatvédelmi vagy teljesítményi igényei vannak.

Monitorozás és visszajelzések

Frissítés után különösen fontos, hogy figyeljük a rendszerlogokat, riasztásokat, és hogy nem nő-e a hamis riasztások száma. Amennyiben kritikus környezetben fut a ClamAV, előnyös lehet monitoring eszközökkel (pl. Prometheus, ELK stack) összekapcsolni, hogy áttekintést kapjunk a vizsgálatok hatékonyságáról.

A ClamAV 1.5.1 egy fontos frissítés, amely a 1.5.0 verzióban meglévő hibákat és teljesítmény-gyengeségeket orvosolja, különösen PE fájlok és ZIP archívumok esetén. A frissítés egyszerűbbé teszi az átállást, csökkenti a hamis riasztások lehetőségét, és jobb felhasználói élményt kínál bonyolult fájlszerkezeteknél is.
Ha ClamAV-t használ, érdemes mihamarabb frissíteni, és a konfigurációt új lehetőségekre (pl. adminisztratív parancsok tiltása, JSON metaadat-kezelés) optimalizálni.

Ha szeretné, segíthetek abban is, hogyan lehet az új ClamAV verziót beilleszteni konkrét Linux-disztribúciókba (pl. Debian, Ubuntu, CentOS) vagy automatizált frissítési folyamatokba. Szeretné, hogy elkészítsek ehhez egy rövid útmutatót is Önnek?

Letöltés és további információ

A ClamAV 1.5.1 elérhető a hivatalos ClamAV letöltési oldalán és a GitHub Release oldalon. A fejlesztők most is arra ösztönzik a közösséget, hogy teszteljék az új verziót és osszák meg tapasztalataikat GitHub-on, a levelezőlistán vagy a Discord csatornán. A ClamAV egy ingyenes és nyílt forráskódú víruskereső motor és a hozzá használható vírusadatbázis. A vírusadatbázist a hivatalos forrásból lehet frissíteni, de külsős beszállítóktól elérhetőek különféle extra adatbázisok a ClamAV veszélyfelismerési képességek bővítéséhez. További ClamAV szignatúra állományok beszerzése az internetről >

Csomgatelepítés menete >

Jellemzők

  • Parancssori víruskereső / malware-ellenes eszközkészlet.
  • Milter interfész a sendmail számára.
  • Fejlett adatbázis-frissítő a szkriptelt frissítések és a digitális aláírások támogatásával.
  • Naponta többször frissített vírusadatbázis.
  • Beépített támogatás az összes szabványos mail fájlformátumhoz.
  • Beépített támogatás különböző archívumformátumokhoz, beleértve a ZIP, RAR, Dmg, Tar, GZIP, BZIP2, OLE2, Cabinet, CHM, BinHex, SIS, UDF és mások.
  • Beépített támogatás az ELF futtatható fájlok és az UPX, FSG, Petite, NsPack, wwpack32, MEW, Upack segítségével csomagolt és a SUE, Y0da Cryptor és másokkal obfuszkált hordozható futtatható fájlok számára.
  • Beépített támogatás a népszerű dokumentumformátumokhoz, beleértve az MS Office és MacOffice fájlokat, HTML, Flash, RTF és PDF formátumokat.