Lin­ux Patch Wednes­day: вот где этот майский пик! 🤦‍♂️ Также об июньском Lin­ux Patch Wednes­day. Помните, я в посте про майский Lin­ux Patch Wednes­day радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Lin­ux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024–1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json:        "CVE-2024-1086": [
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vul­ris­tics отчёт для него только с использованием 2 источников: Vul­ners и БДУ. И даже из Vul­ners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–42013), я не буду подробно их разбирать — кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day (31.3 мб.)

Что касается июньского Lin­ux Patch Wedne­day, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Lin­ux Ker­nel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021–47489 с NVD Pub­lished Date 05/22/2024. 🤔 Что-то странное творит CNA Lin­ux Ker­nel.

🔻 С признаками эксплуатации вживую опять Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947), как и Microsoft Patch Tues­day. Судя по данным БДУ, Remote Code Exe­cu­tion — Libarchive (CVE-2024–26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Exe­cu­tion — Cac­ti (CVE-2024–25641) и Remote Code Exe­cu­tion — onnx/onnx frame­work (CVE-2024–5187).

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day (4.4 мб.)

upd. 30.06 Обновил отчёт.