Архив метки: LinuxPatchWednesday

Июльский Linux Patch Wednesday

Добавить комментарий

Июльский Linux Patch Wednesday

Июльский Lin­ux Patch Wednes­day. Всего 705 уязвимостей, из них 498 в Lin­ux Ker­nel. С признаком эксплуатации вживую уязвимостей пока нет, у 11 есть признак наличия публичного эксплоита:

🔻 В абсолютном топе RCE — OpenSSH "regreSSH­ion" (CVE-2024–6387) со множеством вариантов эксплоитов на GitHub. Среди них могут быть и зловредные фейки (❗️). Здесь же упомяну похожую уязвимость RCE — OpenSSH (CVE-2024–6409), для которой эксплоитов пока нет.
🔻 В паблике есть ссылки на PoC‑и для DoS уязвимостей Suri­ca­ta (CVE-2024–38536) и QEMU (CVE-2024–3567).

Согласно БДУ, существуют публичные эксплоиты для:

🔸 Auth­By­pass — RADIUS Pro­to­col (CVE-2024–3596), её фиксили и в июльском MSPT
🔸 Secu­ri­ty Fea­ture Bypass — Exim (CVE-2024–39929) — обход блокировок по mime_filename, а также в Nextcloud (CVE-2024–22403) — вечные OAuth коды
🔸 DoS — Open­Teleme­try (CVE-2023–45142)
🔸 Mem­o­ry Cor­rup­tion — 7‑Zip (CVE-2023–52168)

🗒 Отчёт Vul­ris­tics по июльскому Lin­ux Patch Wednes­day

Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics

Добавить комментарий

Обновил июньский Linux Patch Wednesday и перевыпустил отчёт Vulristics

Обновил июньский Lin­ux Patch Wednes­day и перевыпустил отчёт Vul­ris­tics. Общее количество уязвимостей снизилось с 1053 до 1040. Видимо для них стали доступны более ранние таймстемпы фиксов. Но уязвимости с признаком эксплуатации вживую и с публичным эксплоитом это не зацепило, они остались теми же.

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day

Linux Patch Wednesday: вот где этот майский пик!

Добавить комментарий

Linux Patch Wednesday: вот где этот майский пик!

Lin­ux Patch Wednes­day: вот где этот майский пик! 🤦‍♂️ Также об июньском Lin­ux Patch Wednes­day. Помните, я в посте про майский Lin­ux Patch Wednes­day радовался, что, несмотря на введение правила по Unknown датам, пик в мае был незначительный. Хотя "32 406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15". Оказалось пик не был виден из-за ошибки в коде. Ба-дум-тсс! 🥸🤷‍♂️

То, что не все CVE-шки у меня попадаются в LPW бюллетени, несмотря на введение номинальных дат, я заметил на примере громкой уязвимости Ele­va­tion of Priv­i­lege (Local Priv­i­lege Esca­la­tion) — Lin­ux Ker­nel (CVE-2024–1086), которой действительно нигде не было. Подебажил функцию распределения по бюллетеням, добавил тесты. Добился того, что все 38 362 CVE-шки из Lin­ux-ового OVAL-контента действительно раскидываются по бюллетеням. Включая CVE-2024–1086. Вот она в феврале:

$ grep "CVE-2024-1086"  bulletins/*
bulletins/2024-02-21.json:        "CVE-2024-1086": [
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",
bulletins/2024-02-21.json:                "title": "CVE-2024-1086 linux",

Ну и пик в мае действительно есть. Да ещё какой! 11 476 CVE! 😱 Настолько много, что я перегенерил Vul­ris­tics отчёт для него только с использованием 2 источников: Vul­ners и БДУ. И даже из Vul­ners данные подгружались не быстро. В отчёте 77 уязвимостей с признаком активной эксплуатации вживую и 1 404 уязвимости с эксплоитами, но без признаков активной эксплуатации. Т.к. по больше части это уязвимости старые, для которых просто не было понятно когда именно они были исправлены, например, Remote Code Exe­cu­tion — Apache HTTP Serv­er (CVE-2021–42013), я не буду подробно их разбирать — кому интересно смотрите отчёт. Но обратите внимание, что размер отчёта очень большой.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day (31.3 мб.)

Что касается июньского Lin­ux Patch Wedne­day, который финализировался 19 июня, то там 1040 уязвимости. Тоже довольно много. Почему так? С одной стороны правило по Unknown датам добавило 977 Debian-овских OVAL дефинишенов без даты. Не 30к, как в мае, но тоже значительно. Из 1040 уязвимостей 854 это уязвимости Lin­ux Ker­nel. Причём, довольно много "старых" идентификаторов уязвимостей, но заведенных в 2024 году. Например, CVE-2021–47489 с NVD Pub­lished Date 05/22/2024. 🤔 Что-то странное творит CNA Lin­ux Ker­nel.

🔻 С признаками эксплуатации вживую опять Remote Code Exe­cu­tion — Chromi­um (CVE-2024–5274, CVE-2024–4947), как и Microsoft Patch Tues­day. Судя по данным БДУ, Remote Code Exe­cu­tion — Libarchive (CVE-2024–26256) также активно эксплуатируется.

🔸 Ещё 20 уязвимостей с публичным эксплоитом. Можно подсветить отдельно Remote Code Exe­cu­tion — Cac­ti (CVE-2024–25641) и Remote Code Exe­cu­tion — onnx/onnx frame­work (CVE-2024–5187).

🗒 Отчёт Vul­ris­tics по июньскому Lin­ux Patch Wednes­day (4.4 мб.)

upd. 30.06 Обновил отчёт.

Майский Linux Patch Wednesday

Добавить комментарий

Майский Linux Patch Wednesday
Майский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch WednesdayМайский Linux Patch Wednesday

Майский Lin­ux Patch Wednes­day. В прошлом месяце мы совместно решили, что стоит ввести правило по Unknown датам с мая 2024. Что я, собственно, и реализовал. Теперь, если я вижу oval def­i­n­i­tion, для которого нет даты публикации (даты появления исправлений для соответствующих уязвимостей), то я номинально присваиваю сегодняшнюю дату. Таким образом 32406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15. Можно было бы предположить, что мы получим огромный пик для уязвимостей, которые "начали исправляться в мае" исходя из номинальной даты. А как вышло на самом деле?

На самом деле пик получился не очень большой. В майском Lin­ux Patch Wednes­day 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024–05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.

Как обычно, я сгенерировал отчёт Vul­ris­tics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Lin­ux Ker­nel. Это следствие того, что Lin­uх Ker­nel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.

На первом месте уязвимость из CISA KEV.

🔻Path Tra­ver­sal — Open­fire (CVE-2023–32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Lin­ux дистрибутивах её не фиксили? Похоже, что нет. В Vul­ners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Open­fire отсутствуют.

На втором месте уязвимость с признаком активной эксплуатации по Attack­erKB.

🔻 Path Tra­ver­sal — aio­http (CVE-2024–23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.

По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.

🔻 Mem­o­ry Cor­rup­tion — nghttp2 (CVE-2024–27983)
🔻 Mem­o­ry Cor­rup­tion — Chromi­um (CVE-2024–3832, CVE-2024–3833, CVE-2024–3834, CVE-2024–4671)
🔻 Mem­o­ry Cor­rup­tion — FreeRDP (CVE-2024–32041, CVE-2024–32458, CVE-2024–32459, CVE-2024–32460)
🔻 Mem­o­ry Cor­rup­tion — Mozil­la Fire­fox (CVE-2024–3855, CVE-2024–3856)
🔻 Secu­ri­ty Fea­ture Bypass — bluetooth_core_specification (CVE-2023–24023)
🔻 Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–3838)
🔻 Denial of Ser­vice — HTTP/2 (CVE-2023–45288)
🔻 Denial of Ser­vice — nghttp2 (CVE-2024–28182)
🔻 Incor­rect Cal­cu­la­tion — FreeRDP (CVE-2024–32040)

Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:

🔸 Secu­ri­ty Fea­ture Bypass — put­ty (CVE-2024–31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Exe­cu­tion — GNU C Library (CVE-2014–9984)
🔸 Remote Code Exe­cu­tion — Flat­pak (CVE-2024–32462)
🔸 Com­mand Injec­tion — aio­http (CVE-2024–23829)
🔸 Secu­ri­ty Fea­ture Bypass — FreeIPA (CVE-2024–1481)

Думаю, что в качестве улучшения в отчёте Vul­ris­tics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day

По Linux Patch Wednesday можно задать справедливый вопрос: а правильно ли я отношу уязвимости к месяцам?

Добавить комментарий

По Linux Patch Wednesday можно задать справедливый вопрос: а правильно ли я отношу уязвимости к месяцам?

По Lin­ux Patch Wednes­day можно задать справедливый вопрос: а правильно ли я отношу уязвимости к месяцам?

Напомню текущую логику: я беру таймстемпы бюллетеней из OVAL-контента Lin­ux вендоров. Какой таймстемп самый старый, тот и считаю временем первого исправления уязвимости.

Но вот незадача: первыми обычно выпускают исправления Debian и они же, частенько, не указывают дату бюллетеня в OVAL (и в листах рассылки тоже не всегда). 😣 Вот и получается как на картинке. Debian выпустил патч непонятно когда, а RedOS в апреле 2024. Делаем вывод, что уязвимость апрельская, ага. Хотя "2023" в CVE намекает на то, что это, мягко говоря, не совсем так и первое исправление уязвимости вышло значительно раньше.

Что с этим делать? Можно сделать радикальный шаг: если для CVE в источнике дата Unknown, то тупо выставлять текущую дату. "Если вижу исправление и не знаю когда конкретно уязвимость была исправлена, значит она была исправлена сегодня". 🙂 И проводить такую "раздачу дат" для Unkown более-менее регулярно (не реже раза в месяц).

К чему приведет введение такого правила со следующего Lin­ux Patch Wednes­day? К тому, что огромная масса уязвимостей, которые непонятно когда были исправлены, станут "исправлены" в мае 2024 года. Мы на них посмотрим, ужаснёмся разок, но зато в следующих месяцах всплывающих внезапно старых уязвимостей будет минимальное количество. Там будет в основном свежачок. Но зато я попорчу статистику внезапным пиком в мае 2024. Дилемма. 🤷‍♂️

Как считаете, проводим операцию "Введение правила по Unknown датам с Мая 2024?".

Кит 🐳, если да (ввести правило, получить пик в статистике ради будущих красивых отчётов без старья).

Палец вниз 👎, если нет (оставить как есть в надежде, что в будущем появится хороший источник данных по таймстемпам исправления и статистика автоматом пересчитается правильным образом).

Сам я считаю, что ввести такое правило стоит.

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Добавить комментарий

Сгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday
Сгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch WednesdayСгенерил отчёт Vulristics по апрельскому Linux Patch Wednesday

Сгенерил отчёт Vul­ris­tics по апрельскому Lin­ux Patch Wednes­day. За прошедший месяц Lin­ux-вендоры начали выпускать исправления для рекордного количества уязвимостей — 348. Есть признаки эксплуатации вживую для 7 уязвимостей (данные об инцидентах из БДУ ФСТЭК). Ещё для 165 есть ссылка на эксплоит или признак наличия публичного/приватного эксплоита.

Начнём с 7 уязвимостей с признаком активной эксплуатации вживую и эксплоитами:

🔻 В ТОП‑е, внезапно, январская трендовая уязвимость Authen­ti­ca­tion Bypass — Jenk­ins (CVE-2024–23897). Насколько я понимаю, обычно Lin­ux-дистрибутивы не включают пакеты Jenk­ins в официальные репозитарии и, соответственно, не добавляют детекты уязвимостей Jenk­ins в свой OVAL-контент. В отличие от отечественного RedOS. Поэтому самый ранний таймстемп исправления этой уязвимости именно у RedOS.

🔻 2 RCE уязвимости. Самая интересная это Remote Code Exe­cu­tion — Exim (CVE-2023–42118). Когда я выпускал отчёт, я специально не учитывал описание уязвимости и продукты из БДУ (флаги –bdu-use-prod­uct-names-flag, –bdu-use-vul­ner­a­bil­i­ty-descrip­tions-flag). Иначе это привело бы к тому, что часть отчёта была бы на английском, а часть на русском. Но оказалось, что для этой уязвимости адекватное описание есть пока только в БДУ. 🤷‍♂️ К этой уязвимости нужно присмотреться, т.к. Exim является достаточно популярным почтовым сервером. Вторая RCE уязвимость браузерная, Remote Code Exe­cu­tion — Safari (CVE-2023–42950).

🔻 2 DoS уязвимости. Denial of Ser­vice — nghttp2/Apache HTTP Serv­er (CVE-2024–27316) и Denial of Ser­vice — Apache Traf­fic Serv­er (CVE-2024–31309). Последняя в отчёте классифицируется как Secu­ri­ty Fea­ture Bypass, но это из-за некорректного CWE в NVD (CWE-20 — Improp­er Input Val­i­da­tion)

🔻 2 браузерные Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–2628, CVE-2024–2630)

Из уязвимостей, для которых пока есть только признак наличия эксплоита, можно обратить внимания на следующее:

🔸 Большое количество RCE уязвимостей (71). Большая часть из них в продукте gtk­wave. Это программа просмотра файлов VCD (Val­ue Change Dump, дамп изменения значения), которые обычно создаются симуляторами цифровых схем. Выглядят опасными уязвимости Remote Code Exe­cu­tion — Cac­ti (CVE-2023–49084, CVE-2023–49085), это решения для мониторинга серверов и сетевых устройств.

🔸 Secu­ri­ty Fea­ture Bypass — Send­mail (CVE-2023–51765). Позволяет внедрить сообщения электронной почты с поддельным адресом MAIL FROM.

🔸 Пачка Cross Site Script­ing в Medi­aWi­ki, Cac­ti, Grafana, Nextcloud.

В общем, в этот раз аж глаза разбегаются. 🤩

🗒 Апрельский Lin­ux Patch Wednes­day

Сгенерил отчёт по мартовскому Linux Patch Wednesday

Добавить комментарий

Сгенерил отчёт по мартовскому Linux Patch Wednesday
Сгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch WednesdayСгенерил отчёт по мартовскому Linux Patch Wednesday

Сгенерил отчёт по мартовскому Lin­ux Patch Wednes­day. 134 уязвимости, из них 68 в ядре. С признаком эксплуатации вживую уязвимостей нет. Есть 15 уязвимостей с PoC-ами (все кроме одной это ссылки из NVD).

🔸 В топе Com­mand Injec­tion — libuv (CVE-2024–24806). Это мультиплатформенная библиотека для асинхронного ввода-вывода. Злоумышленник может потенциально получить доступ к внутренним API.

🔸 Для aio­http пачка Com­mand Injec­tion (CVE-2023–37276, CVE-2023–47627, CVE-2023–49082) и Secu­ri­ty Fea­ture Bypass (CVE-2023–47641, CVE-2023–49081) с PoC-ами. Это асинхронный HTTP-фреймворк (клиент/сервер). Уязвимости запатчены только в российской RedOS (18 марта) и Debian (непонятно когда).

🔸Многовато проблем с детектами типа уязвимости и продукта, т.к. из-за кризиса NVD для части уязвимостей нет CPE и CWE. 🤷‍♂️

🔸 Команда Lin­ux Ker­nel теперь CNA и заводят массу CVEшек с чудовищно большими дескрипшенами. Потому что могут! 😏

🗒 Мартовский Lin­ux Patch Wednes­day