Декабрьский Lin­ux Patch Wednes­day. Вчера была третья среда месяца, поэтому смотрим на уязвимости Lin­ux. Основная беда прошлого месяца с непродетектированными продуктами практически решена. 🎉 Я реализовал детекты по сокращённому CPE-идентификатору (тип:вендор:продукт) в Vul­ris­tics. Смотрю как оптимальнее совместить детекты по CPE и по текстовому описанию, но уже гораздо информативнее. 🙂

Всего 158 уязвимостей. Только для 16 уязвимостей не определился продукт, из них 11 это пустые заглушки-кандидаты.

В топе:

🔻 RCE — Perl (CVE-2022–48522). Есть ссылка на NVD типа Exploit. CVSS 9.8.
🔻 RCE — Safari (CVE-2023–42917). В CISA KEV.
🔻 Mem­o­ry Cor­rup­tion — Chromi­um (CVE-2023–6345). В CISA KEV, Skia.
🔻 RCE — Redis (CVE-2022–24834). Эксплоит на гитхабе.
🔻 Mem­o­ry Cor­rup­tion — Safari (CVE-2023–42916). В CISA KEV.

Всего 29 уязвимостей с потенциальными эксплоитами. В основном это ссылки из NVD типа "Exploit", относиться к ним следует с долей скепсиса.

🗒 Vul­ris­tics report