Декабрьский Linux Patch Wednesday. Вчера была третья среда месяца, поэтому смотрим на уязвимости Linux. Основная беда прошлого месяца с непродетектированными продуктами практически решена. 🎉 Я реализовал детекты по сокращённому CPE-идентификатору (тип:вендор:продукт) в Vulristics. Смотрю как оптимальнее совместить детекты по CPE и по текстовому описанию, но уже гораздо информативнее. 🙂
Всего 158 уязвимостей. Только для 16 уязвимостей не определился продукт, из них 11 это пустые заглушки-кандидаты.
В топе:
🔻 RCE — Perl (CVE-2022–48522). Есть ссылка на NVD типа Exploit. CVSS 9.8.
🔻 RCE — Safari (CVE-2023–42917). В CISA KEV.
🔻 Memory Corruption — Chromium (CVE-2023–6345). В CISA KEV, Skia.
🔻 RCE — Redis (CVE-2022–24834). Эксплоит на гитхабе.
🔻 Memory Corruption — Safari (CVE-2023–42916). В CISA KEV.
Всего 29 уязвимостей с потенциальными эксплоитами. В основном это ссылки из NVD типа "Exploit", относиться к ним следует с долей скепсиса.