Майский Lin­ux Patch Wednes­day. В прошлом месяце мы совместно решили, что стоит ввести правило по Unknown датам с мая 2024. Что я, собственно, и реализовал. Теперь, если я вижу oval def­i­n­i­tion, для которого нет даты публикации (даты появления исправлений для соответствующих уязвимостей), то я номинально присваиваю сегодняшнюю дату. Таким образом 32406 oval def­i­n­i­tion-ов без даты получили номинальную дату 2024-05-15. Можно было бы предположить, что мы получим огромный пик для уязвимостей, которые "начали исправляться в мае" исходя из номинальной даты. А как вышло на самом деле?

На самом деле пик получился не очень большой. В майском Lin­ux Patch Wednes­day 424 CVE. При том, что в апрельском было 348. Соизмеримо. Видимо не очень большой пик связан с тем, что для большей части уязвимостей уже были даты исправления старше выставленной номинальной (2024–05-15). Тем лучше. 🙂 В июне всё должно стать вообще хорошо.

Как обычно, я сгенерировал отчёт Vul­ris­tics для майских уязвимостей. Большая часть уязвимостей (282) относятся к Lin­ux Ker­nel. Это следствие того, что Lin­uх Ker­nel теперь CNA и они могут заводить CVE на всякую дичь типа багов с огромными трейсами прямо в описании уязвимостей.

На первом месте уязвимость из CISA KEV.

🔻Path Tra­ver­sal — Open­fire (CVE-2023–32315). Это трендовая уязвимость августа 2023 года. Она попала в отчёт из-за фикса в RedOS 2024-05-03. А в других Lin­ux дистрибутивах её не фиксили? Похоже, что нет. В Vul­ners среди связанных объектов безопасности можем видеть только бюллетень RedOS. Видимо в репозиториях других дистрибутивов пакеты Open­fire отсутствуют.

На втором месте уязвимость с признаком активной эксплуатации по Attack­erKB.

🔻 Path Tra­ver­sal — aio­http (CVE-2024–23334). Ошибка позволяет неаутентифицированным злоумышленникам получать доступ к файлам на уязвимых серверах.

По данным из БДУ ещё 16 уязвимостей имеют признаки активной эксплуатации вживую.

🔻 Mem­o­ry Cor­rup­tion — nghttp2 (CVE-2024–27983)
🔻 Mem­o­ry Cor­rup­tion — Chromi­um (CVE-2024–3832, CVE-2024–3833, CVE-2024–3834, CVE-2024–4671)
🔻 Mem­o­ry Cor­rup­tion — FreeRDP (CVE-2024–32041, CVE-2024–32458, CVE-2024–32459, CVE-2024–32460)
🔻 Mem­o­ry Cor­rup­tion — Mozil­la Fire­fox (CVE-2024–3855, CVE-2024–3856)
🔻 Secu­ri­ty Fea­ture Bypass — bluetooth_core_specification (CVE-2023–24023)
🔻 Secu­ri­ty Fea­ture Bypass — Chromi­um (CVE-2024–3838)
🔻 Denial of Ser­vice — HTTP/2 (CVE-2023–45288)
🔻 Denial of Ser­vice — nghttp2 (CVE-2024–28182)
🔻 Incor­rect Cal­cu­la­tion — FreeRDP (CVE-2024–32040)

Ещё для 22 уязвимостей есть эксплоит (публичный или приватный), но пока нет признаков активной эксплуатации вживую. Все их здесь перечислять не буду, можно обратить внимание на:

🔸 Secu­ri­ty Fea­ture Bypass — put­ty (CVE-2024–31497). Громкая уязвимость, позволяющая атакующему восстановить секретный ключ пользователя.
🔸 Remote Code Exe­cu­tion — GNU C Library (CVE-2014–9984)
🔸 Remote Code Exe­cu­tion — Flat­pak (CVE-2024–32462)
🔸 Com­mand Injec­tion — aio­http (CVE-2024–23829)
🔸 Secu­ri­ty Fea­ture Bypass — FreeIPA (CVE-2024–1481)

Думаю, что в качестве улучшения в отчёте Vul­ris­tics можно отдельно группировать уязвимости с публичными эксплоитами и приватными эксплоитами, т.к. всё-таки это сильно влияет на критичность. Ставьте 🐳, если нужно такое сделать.

🗒 Отчёт Vul­ris­tics по майскому Lin­ux Patch Wednes­day