Patches für kritische libarchive-Schwachstellen in End-of-Life Ubuntu
Kürzlich wurden mehrere Sicherheitslücken in libarchive behoben, einer weit verbreiteten freien und Open-Source-Bibliothek zum Lesen und Schreiben verschiedener Archivdateiformate. Diese Schwachstellen könnten es Angreifern ermöglichen, Systeme auszunutzen und Denial-of-Service (DoS) zu verursachen, indem sie mit libarchive verbundene Anwendungen zum Absturz bringen.
Details zu libarchive-Sicherheitslücken
CVE-2022-36227 (CVSS v3 Score: 9.8 Kritisch)
Eine Schwachstelle in libarchive wurde aufgrund einer fehlenden Überprüfung des Rückgabewertes der Funktion calloc
Funktion. In Fällen, in denen der Speicher nicht ausreicht oder die Speicherzuweisungsgrenze des Systems erreicht ist, kann dieser Fehler eine NULL-Zeiger-Dereferenz auslösen. Die Anwendung, die sich auf libarchive stützt, kann abstürzen, was zu einer möglichen Dienstverweigerung führt. Es ist jedoch wichtig zu beachten, dass diese Schwachstelle nur dann ausgenutzt werden kann, wenn das System unter erheblichem Speicherdruck steht.
CVE-2024-48957 (CVSS v3-Wert: 7.8 Hoch)
Diese libarchive-Schwachstelle tritt aufgrund eines Out-of-Bounds-Zugriffs in der execute_filter_audio
Funktion innerhalb der libarchive/archive_read_support_format_rar.c
Datei. Bei der Verarbeitung eines in böser Absicht erstellten RAR-Archivs kann libarchive die Daten nicht richtig validieren, was zu einem Absturz führt. Dieser Fehler macht Anwendungen, die auf libarchive angewiesen sind, anfällig für Denial-of-Service-Angriffe.
CVE-2024-48958 (CVSS v3 Ergebnis: 7.8 Hoch)
Ähnlich wie CVE-2024-48957, diese Schwachstelle stammt auch aus Out-of-Bounds-Zugriff, aber es ist in der ausgelöst execute_filter_delta
Funktion innerhalb desselben archive_read_support_format_rar.c
Datei. Wie die vorherige Schwachstelle tritt dieses Problem auf, wenn libarchive ein speziell präpariertes RAR-Archiv verarbeitet, was zu einem Absturz der Anwendung und einer anschließenden Dienstverweigerung führen kann.
Verfügbare Updates und wie Sie sicher bleiben
Canonical hat diese Sicherheitslücken kürzlich durch die Veröffentlichung von Updates für die folgenden Ubuntu-Versionen behoben: Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, und Ubuntu 20.04 LTS. Darüber hinaus wurden im Rahmen der erweiterten Sicherheitswartung (Extended Security Maintenance, ESM) erweiterte Sicherheitsupdates für ältere, auslaufende Ubuntu-Versionen zur Verfügung gestellt: Ubuntu 18.04 ESM, Ubuntu 16.04 ESM, und Ubuntu 14.04 ESM.
Um Ihre Systeme vor diesen Schwachstellen zu schützen, ist es wichtig, das libarchive-Paket auf die neueste Version zu aktualisieren, die in Ihren Ubuntu-Repositories verfügbar ist. Für Benutzer, die Ubuntu 24.04 LTS, Ubuntu 22.04 LTS oder Ubuntu 20.04 LTS verwenden, können diese Updates direkt über die Standard-Ubuntu-Repositories angewendet werden.
Für Benutzer, die noch mit älteren Ubuntu-Versionen wie Ubuntu 18.04, Ubuntu 16.04 und Ubuntu 14.04 arbeiten, ist für die Anwendung von Sicherheits-Patches ein Ubuntu Pro-Abonnement erforderlich, das Zugang zur erweiterten Sicherheitswartung über ESM bietet.
Erschwingliche Alternative: Der endlose Lebenszyklus-Support von TuxCare
Für Nutzer älterer Ubuntu-Versionen, die die höheren Kosten eines Ubuntu Pro-Abonnements vermeiden wollen, bietet der Endless Lifecycle Support von TuxCare eine kostengünstige Lösung. Der ELS-Service von TuxCare stellt herstellerneutrale Sicherheitspatches für EOL-Ubuntu-Versionen(Ubuntu 16.04 und Ubuntu 18.04) zur Verfügung, so dass Sie auch nach dem offiziellen EOL-Datum so lange wie nötig sicher weiterarbeiten können. Auf diese Weise können Unternehmen in ihrem eigenen Tempo migrieren und gleichzeitig die kontinuierliche Einhaltung von Sicherheitsvorschriften gewährleisten.
TuxCare unterstützt auch andere End-of-Life-Linux-Distributionen, darunter CentOS 6, CentOS 7, CentOS 8, CentOS Stream 8, Oracle Linux 6 und Oracle Linux 7
Quelle: USN-7070-1