Technischer Support
Dokumentation
Anmeldung
Kontakt
Mehrere Schwachstellen wurden in FreeImage, einer Open-Source-Bibliothek zur Unterstützung von Grafikformaten, entdeckt. Diese Schwachstellen können, wenn sie nicht behoben werden, zu Denial-of-Service-Angriffen führen. Am 16. Januar 2024 veröffentlichte das Ubuntu-Sicherheitsteam kritische Sicherheitsupdates, die mehrere FreeImage-Schwachstellen in verschiedenen Ubuntu-Versionen, darunter Ubuntu 16.04 und Ubuntu 18.04, beheben.
Allerdings haben beide Versionen das Ende ihrer Lebensdauer erreicht, so dass die Sicherheitsupdates nur verfügbar sind, wenn Sie ein Ubuntu Pro-Abonnement haben. Alternativ können Sie sich für eine kostengünstige Option entscheiden, um Ihre Ubuntu 16.04- und Ubuntu 18.04-Workloads mit dem Extended Lifecycle Support von TuxCare zu sichern.
TuxCare bietet fünf Jahre lang zusätzliche Sicherheitspatches für Ubuntu 16.04 und Ubuntu 18.04 nach Ablauf der EOL-Periode. Ohne Sicherheitsupdates sind die EOL-Systeme einem hohen Risiko für erfolgreiche Angriffe ausgesetzt. Mit TuxCare können Sie jedoch weiterhin Sicherheitspatches erhalten und die Sicherheit sowie die Konformität Ihrer Ubuntu 16.04- und Ubuntu 18.04-Server aufrechterhalten.
Was ist die FreeImage-Bibliothek?
Die FreeImage-Bibliothek ist eine quelloffene, plattformübergreifende Bildverarbeitungsbibliothek, die verschiedene Bildformate wie PNG, BMP, JPEG, TIFF und andere unterstützt. Sie bietet Entwicklern einen umfassenden Satz von Werkzeugen zum Laden, Speichern, Konvertieren und Bearbeiten von Bildern in ihren Softwareanwendungen. FreeImage wird aufgrund seiner Vielseitigkeit, Benutzerfreundlichkeit und umfangreichen Formatunterstützung in der grafikbezogenen Softwareentwicklung häufig eingesetzt.
FreeImage ist in zwei Versionen erhältlich: eine binäre DLL-Distribution, die nahtlos mit jedem WIN32- oder WIN64-C/C++-Compiler gelinkt werden kann, und eine Quellcode-Distribution. Sie können sie von der offiziellen Download-Seite erhalten.
Ubuntu behebt 5 FreeImage-Schwachstellen
Wie in der Ubuntu-Sicherheitsmitteilung erwähnt, waren mehrere Ubuntu-Versionen betroffen, darunter Ubuntu 23.10, Ubuntu 23.04, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04, Ubuntu 16.04 und Ubuntu 14.04.
CVE-2019-12211 (Cvss 3 Schweregrad: 7.5 Hoch)
Diese Schwachstelle bezieht sich auf die falsche Handhabung bestimmter Speicheroperationen durch FreeImage. Durch manipulierte TIFF-Dateien kann ein Heap-Pufferüberlauf ausgelöst werden, was zu einem Denial-of-Service-Angriff führen kann. Diese Sicherheitslücke betrifft nur Ubuntu 16.04 LTS und Ubuntu 20.04 LTS.
CVE-2019-12213 (Cvss 3 Schweregrad: 6.5 Mittel)
Hier verarbeitet FreeImage unter bestimmten Bedingungen Bilder falsch. Ähnlich wie bei der vorherigen Schwachstelle können Angreifer durch manipulierte TIFF-Dateien eine Stack-Exhaustion-Bedingung herbeiführen, was zu einem Denial-of-Service führen kann. Ubuntu 16.04 LTS und Ubuntu 20.04 LTS sind die einzigen betroffenen Versionen.
CVE-2020-21427 & CVE-2020-21428 (Cvss 3 Schweregrad: 7.8 Hoch)
Diese Pufferüberlauf-Schwachstellen resultieren aus der fehlerhaften Verarbeitung bestimmter Bilder durch eine manipulierte Bilddatei in FreeImage. Ein entfernter Angreifer könnte diese Schwachstellen ausnutzen, um einen Denial-of-Service zu verursachen oder beliebigen Code auszuführen.
CVE-2020-22524 (Cvss 3 Schweregrad: 6.5 Mittel)
Diese Sicherheitslücke betrifft die fehlerhafte Verarbeitung bestimmter Bilddateien durch FreeImage. Eine speziell gestaltete PFM-Datei kann zu einer Pufferüberlaufschwachstelle führen, die von Angreifern ausgenutzt werden kann, um einen Denial-of-Service zu verursachen.
Schlussfolgerung
Die Ubuntu-Sicherheitsupdates unterstreichen die laufenden Bemühungen zum Schutz vor Sicherheitslücken in beliebten Bibliotheken wie FreeImage. Indem sie informiert bleiben und proaktiv Sicherheits-Patches anwenden, können die Benutzer zu einer sichereren und widerstandsfähigeren Computerumgebung beitragen. Ubuntu-Nutzern wird dringend empfohlen, ihre FreeImage-Versionen umgehend auf die neueste Version zu aktualisieren.
Debian 11 und Debian 12 haben die Korrekturen für diese Verwundbarkeiten am 17. Dezember 2023 erhalten, und Debian-Benutzern wird empfohlen, die bestehenden Installationen der freeimage-Pakete zu aktualisieren.
KernelCare Enterprise von TuxCare bietet Live-Patching-Services für Linux, die einen Neustart des Systems oder die Planung von Wartungsfenstern überflüssig machen. Zu den unterstützten Distributionen gehören alle gängigen Enterprise-Distributionen wie Ubuntu, Debian, RHEL, CentOS, AlmaLinux, Rocky Linux und Oracle Linux. Darüber hinaus automatisiert KernelCare Enterprise die Bereitstellung von Sicherheitspatches und sorgt dafür, dass diese sofort in Ihrem gesamten Linux-Ökosystem angewendet werden.
Quelle: USN-6586-1
