Após mais de um ano desde a versão anterior (1.4), o ClamAV — tradicional antivírus de código aberto mantido pelo Cisco Talos, parte da Cisco Systems Inc. — acaba de lançar sua nova versão, o ClamAV 1.5, marcando uma evolução significativa na segurança e conformidade criptográfica.
Um dos destaques mais importantes dessa versão é a nova verificação compatível com FIPS (Federal Information Processing Standards) para os bancos de assinaturas CVD e os arquivos de patch CDIFF.
Agora, o ClamAV utiliza arquivos externos .cvd.sign para verificar a autenticidade dos bancos diários, principais e de bytecode — arquivos que são automaticamente baixados pelo Freshclam ou pela ferramenta CVDUpdate.
Caso esses arquivos de assinatura não estejam disponíveis, o ClamAV ainda pode recorrer ao método tradicional de verificação baseado em MD5 com RSA, garantindo retrocompatibilidade.
Hash SHA-256 Substitui MD5
Em um movimento importante para a segurança, todas as operações de cache que antes usavam MD5 foram substituídas por SHA2-256, um algoritmo mais robusto e moderno. Com isso, o ClamAV elimina o uso de algoritmos criptográficos obsoletos e vulneráveis.
Também introduziu-se a nova opção de configuração FIPSCryptoHashLimits, que desativa o uso de MD5 e SHA1 quando o sistema estiver em modo FIPS, atendendo às exigências de ambientes que requerem algoritmos aprovados por este padrão.
A nova versão traz mais flexibilidade para ambientes corporativos. Ferramentas como Freshclam, ClamD, ClamScan e Sigtool agora suportam a opção –cvdcertsdir, permitindo definir diretórios personalizados de certificados por linha de comando, variáveis de ambiente ou arquivos de configuração.
No quesito usabilidade, o ClamScan agora exibe tamanhos de arquivos com maior precisão, usando unidades GiB, MiB, KiB ou B, em vez de valores arredondados em megabytes.
Outras novidades incluem novas opções de linha de comando –log-hash, –hash-alg e –file-type-hint, que oferecem mais controle sobre como os hashes e tipos de arquivos são manipulados e registrados durante as varreduras.
Avanços para desenvolvedores e APIs
O ClamAV 1.5 também introduziu novas APIs públicas na biblioteca libclamav, além de um conjunto de callbacks de varredura. Isso permite que programas externos se integrem ao motor do ClamAV em diversos pontos do processo: antes do hash, antes e depois da varredura, na detecção de ameaças ou quando o tipo de arquivo muda.
Outras novidades relevantes são a possibilidade de usar expressões regulares para excluir caminhos específicos da varredura em tempo real, registrar URIs extraídas de arquivos HTML e PDF e saída JSON mais detalhada e estruturada, distinguindo entre indicadores fortes, fracos e indesejados, facilitando análises automatizadas.
A nova versão aprimora o suporte a arquivos ZIP corrompidos e a nomes de arquivos UTF-8 no Windows. Foram feitas melhorias específicas para AIX, Solaris e GNU/Hurd, garantindo maior compatibilidade entre plataformas.
Por fim, a equipe de desenvolvimento realizou uma importante limpeza no código-fonte, por exemplo, corrigindo falhas de estouro de memória, melhorando a estabilidade das ferramentas Freshclam, ClamD e do mecanismo principal.