Архив метки: libuv

Сгенерил отчёт по мартовскому Linux Patch Wednesday

Сгенерил отчёт по мартовскому Linux Patch Wednesday
Сгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch Wednesday

Сгенерил отчёт по мартовскому Linux Patch Wednesday. 134 уязвимости, из них 68 в ядре. С признаком эксплуатации вживую уязвимостей нет. Есть 15 уязвимостей с PoC-ами (все кроме одной это ссылки из NVD).

🔸 В топе Command Injection - libuv (CVE-2024-24806). Это мультиплатформенная библиотека для асинхронного ввода-вывода. Злоумышленник может потенциально получить доступ к внутренним API.

🔸 Для aiohttp пачка Command Injection (CVE-2023-37276, CVE-2023-47627, CVE-2023-49082) и Security Feature Bypass (CVE-2023-47641, CVE-2023-49081) с PoC-ами. Это асинхронный HTTP-фреймворк (клиент/сервер). Уязвимости запатчены только в российской RedOS (18 марта) и Debian (непонятно когда).

🔸Многовато проблем с детектами типа уязвимости и продукта, т.к. из-за кризиса NVD для части уязвимостей нет CPE и CWE. 🤷‍♂️

🔸 Команда Linux Kernel теперь CNA и заводят массу CVEшек с чудовищно большими дескрипшенами. Потому что могут! 😏

🗒 Мартовский Linux Patch Wednesday