ClamAV正则表达式规则导致内存分配失败问题分析

问题背景

在ClamAV 1.4.1版本中，当使用特定格式的正则表达式规则时，会导致clamd服务启动失败并报出"Can't allocate memory"错误。这一问题主要出现在自定义的WDB规则文件中，特别是当规则中包含某些特定的正则表达式模式时。

问题表现

用户报告在FreeBSD 14.2系统上运行ClamAV 1.4.1时，当WDB规则文件中包含如下规则时，clamd服务无法启动：

X:.*\.safelinks\.protection\.outlook\.com([/?].*)?:.*\.?amazon\..+([/?].*)?:17-

服务启动时会显示错误信息：

LibClamAV Error: Can't load /var/db/clamav/myrules.wdb: Can't allocate memory
ERROR: Can't allocate memory

问题根源分析

经过深入排查，发现问题出在正则表达式的特定构造上。具体来说，当规则右侧使用".+"这种开放式的匹配模式时，会导致ClamAV在解析规则时尝试分配过多内存。

在正则表达式引擎处理过程中，".+"这种贪婪匹配模式在没有明确边界限制的情况下，可能会导致内存消耗急剧增加，特别是在处理复杂的URL匹配场景时。

解决方案

用户通过实验发现，将开放式的".+"匹配替换为具体的域名后缀列表可以解决此问题。例如，将原来的规则修改为：

X:.*\.safelinks\.protection\.outlook\.com([/?].*)?:.*\.?amazon\.(de|at)([/?].*)?:17-

这种修改有以下几个优点：

1. 明确了匹配范围，避免了无限可能性的匹配
2. 减少了正则表达式引擎的计算复杂度
3. 降低了内存需求

技术建议

对于ClamAV用户编写自定义WDB规则时，建议遵循以下最佳实践：

1. 避免使用过于宽泛的匹配模式：如".+"、".*"等应谨慎使用，尽量用具体的匹配内容替代

2. 明确匹配边界：为匹配模式设置明确的开始和结束标记，减少不确定性

3. 分段测试规则：添加新规则时应逐条测试，确保不会引起服务异常

4. 考虑性能影响：复杂的正则表达式会显著增加扫描时的CPU和内存消耗

5. 使用白名单机制：对于已知安全的模式，可考虑使用白名单而非黑名单

总结

这一问题揭示了ClamAV在处理某些特定正则表达式模式时存在的内存管理问题。虽然通过修改规则可以临时解决，但从长远来看，ClamAV团队需要对WDB规则解析器进行优化，以更好地处理复杂的正则表达式匹配场景，同时提供更友好的错误提示机制。

对于安全管理员而言，在编写自定义规则时应当注意规则的精确性和性能影响，避免使用可能导致资源耗尽的正则表达式构造。