Про январский Lin­ux Patch Wednes­day. Основная сложность в распределении CVE-шек по месяцам для LPW это поймать момент, когда CVE-шку первый раз запатчили. Обычно первыми это делают Debian. Но вот беда — в Debian OVAL зачастую отсутствует дата, когда именно это произошло (дата публикации дефинишена). 😑

Продемонстрирую на примере. Генерю я вчера Lin­ux Patch Wednes­day отчёт за январь и вижу там UnRAR Arbi­trary File Over­write (CVE-2022–30333). Почему уязвимость 2022 года всплыла сейчас, в начале 2024? Потому, что её запатчили в Ubun­tu на днях, 8 января. Причём фиксили не саму утилиту UnRAR, а стороннюю либу Cla­mAV для антивирусной проверки архивов. А раньше эту CVE не фиксил никто что ли? Ну, фиксили. Вот есть сообщение в листе рассылке Debian от 17 августа 2023. Тоже поздно, совсем не 2022 год, но всё-таки несколько раньше. Но в OVAL-контенте Debian этой даты, 17 августа 2023, не было. И поэтому попала CVE-шка из 2022 года в 2024, т.к. самая ранняя (и единственная) дата, которая была в OVAL-контентах Lin­ux вендоров для этой уязвимости это была дата запоздалого фикса в Ubun­tu. 🤷‍♂️

В общем, OVAL хорошо и универсально, но, к сожалению, не панацея. Удивительно, но там тоже бардак, на который всем пофигу. 😏

Пришлось вчера спешно научиться парсить архивы листа рассылки с бюллетенями безопасности Debian. В итоге список уязвимостей стал поадекватнее. В частности, CVE-2022–30333 ушла в LPW для сентября 2023. Аналогично можно и работу с другими листами рассылки построить, например с Suse.

С Suse, кстати, забавно. У них есть OVAL контент, но он отдаётся только по FTP и нереально медленно, как на dial-up модеме. Причём, не только для России режут скорость (как можно было бы предположить). Вовсе нет, проблема общая.

Отчёт Vul­ris­tics выпустил:

🗒 Январский LPW

С детектами можно (и нужно) ещё поиграться, но в целом выглядит норм. 🙂

81 уязвимость.

🔻 Из них самая критичная это RCE в модуле Perl Spreadsheet::ParseExcel (CVE-2023–7101). Эта уязвимость используется вживую и есть в CISA KEV.

Из того, для чего ещё есть ссылки на эксплоиты (ссылки из NVD — требуется верификация):

🔸 Denial of Ser­vice — Aster­isk (CVE-2023–49786)
🔸 Secu­ri­ty Fea­ture Bypass — Python (CVE-2023–27043)
🔸 Mem­o­ry Cor­rup­tion — Lin­ux Ker­nel (CVE-2023–6606)
🔸 Mem­o­ry Cor­rup­tion — libde265 (CVE-2023–49465, CVE-2023–49467, CVE-2023–49468) — реализация видео-кодека h.265
🔸 Secu­ri­ty Fea­ture Bypass — twist­ed (CVE-2023–46137)
🔸 Mem­o­ry Cor­rup­tion — sqlite (CVE-2023–7104)
🔸 Denial of Ser­vice — w3m (CVE-2023–4255)
🔸 Incor­rect Cal­cu­la­tion — QEMU (CVE-2023–42467)
🔸 Mem­o­ry Cor­rup­tion — QEMU (CVE-2023–40360)
🔸 Mem­o­ry Cor­rup­tion — cJSON (CVE-2023–50471) — парсер JSON на C
🔸 Brows­er tab titles were being leaked — Mozil­la Fire­fox (CVE-2023–6872)
🔸 Secu­ri­ty Fea­ture Bypass — sqlite (CVE-2022–46908)