Aktuelle Python-Schwachstellen in Ubuntu behoben
Mehrere Sicherheitslücken in Python wurden identifiziert und gepatcht. Updates sind für mehrere Ubuntu-Versionen verfügbar, darunter Ubuntu 24.04 LTS, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS. Diese Schwachstellen stellen ernsthafte Sicherheitsrisiken dar, wie z.B. Denial of Service (DoS) und die Möglichkeit, Schutzmechanismen zu umgehen.
In diesem Artikel werden wir die neuesten Python-Schwachstellen untersuchen, wie sie sich auf Systeme auswirken und welche Schritte Sie unternehmen können, um Ihre Umgebung zu sichern.
Details zu Python-Sicherheitslücken
CVE-2023-27043
In Python-Versionen bis 3.11.3 parst das E-Mail-Modul E-Mail-Adressen, die Sonderzeichen enthalten, falsch. Dies führt dazu, dass der falsche Teil eines RFC2822-Headers als addr-spec
Wert. Infolgedessen könnten Angreifer möglicherweise Sicherheitsmechanismen in Anwendungen umgehen, die den Zugriff auf der Grundlage der E-Mail-Verifizierung auf eine bestimmte Domäne gewähren (z. B. nur Adressen von @company.example.com
für die Anmeldung). Diese Schwachstelle geht auf die email/_parseaddr.py
Datei in neueren Python-Versionen.
CVE-2024-6232
Eine Sicherheitslücke mittleren Schweregrades wurde in CPython entdeckt, wo reguläre Ausdrücke in tarfile.TarFile
Header-Parsing erlauben exzessives Backtracking. Dies macht das Modul anfällig für Regular Expression Denial of Service (ReDoS) Angriffe durch speziell gestaltete tar-Archive.
CVE-2024-6923
Eine Sicherheitslücke mittleren Schweregrades wurde im E-Mail-Modul von CPython entdeckt. Bei der Serialisierung einer E-Mail-Nachricht werden Zeilenumbrüche in E-Mail-Kopfzeilen nicht korrekt in Anführungszeichen gesetzt, was Angriffe durch Header-Injection ermöglichen kann. Eine Header-Injection ist eine Technik, die die Änderung oder Einfügung von nicht autorisierten E-Mail-Header-Feldern ermöglicht, was zu bösartigen Aktivitäten wie Spoofing oder Phishing führen kann.
CVE-2024-7592
Eine weitere Schwachstelle besteht im http.cookies Standardbibliotheksmodul von CPython. Beim Parsen von Cookies mit Backslashes in Anführungszeichen kann der Parser eine quadratische Komplexität aufweisen, was zu einer übermäßigen CPU-Auslastung und potenziellen Denial-of-Service (DoS)-Angriffen führt.
CVE-2024-8088
Diese Schwachstelle wurde in der Klasse zipfile.Path des CPython-Moduls zipfile entdeckt. Während die am häufigsten verwendete zipfile.ZipFile
Klasse nicht betroffen ist, iteriert über Eintragsnamen in einem böswillig erstellten Zip-Archiv (mit Methoden wie namelist()
, iterdir()
usw.) kann zu einer Endlosschleife führen. Diese Schwachstelle betrifft sowohl das Lesen von Metadaten als auch die Extraktion von Inhalten und kann zu Denial-of-Service-Angriffen (DoS) führen. Programme, die nicht mit benutzergesteuerten Zip-Archiven arbeiten, sind nicht gefährdet.
Wie Sie Ihre Systeme schützen können
Es ist wichtig, dass Sie Ihre Python-Pakete sofort aktualisieren, um sicherzustellen, dass Ihr System vor diesen Sicherheitslücken geschützt ist. Canonical hat bereits Patches veröffentlicht, um diese Sicherheitslücken in allen unterstützten Versionen von Ubuntu zu schließen.
Ubuntu-Benutzer können die neuesten Sicherheitspatches ganz einfach über den apt-Paketmanager installieren. Wenn Sie die folgenden Befehle ausführen, können Sie auf die sicherste Version von Python aktualisieren:
sudo apt update
sudo apt upgrade python3
Nach der Aktualisierung sollten Sie die installierte Version von Python bestätigen, indem Sie
python3 --version
Erwägen Sie den erweiterten Lebenszyklus-Support (ELS)
Wenn in Ihrem Unternehmen Ubuntu-End-of-Life-Versionen (EOL) wie Ubuntu 16.04 oder Ubuntu 18.04 im Einsatz sind, sind Sie nicht aufgeschmissen. Der Extended Lifecycle Support (ELS) von TuxCare bietet kritische Sicherheitsupdates für diese Versionen und stellt sicher, dass Sie vor Schwachstellen wie den oben genannten geschützt bleiben.
Der ELS von TuxCare bietet fünf Jahre lang Sicherheitspatches in Herstellerqualität über das EOL-Datum hinaus und deckt über 140 Pakete ab, darunter Python, Linux-Kernel, OpenSSL, glibc und mehr. Dieser Service ist von unschätzbarem Wert für Unternehmen, die ihre Systeme nicht sofort aktualisieren können, aber dennoch zuverlässige Sicherheit benötigen.
Es dehnt seinen Schutz auf eine breite Palette von Linux-Distributionen aus, einschließlich:
- CentOS 6, CentOS 7 und CentOS 8
- CentOS Stream 8
- Oracle Linux 6 und Oracle Linux 7
- Ubuntu 16.04 und Ubuntu 18.04
Durch die Nutzung des erweiterten Supports können Unternehmen die Sicherheit ihrer Linux-Umgebungen auch nach dem offiziellen EOL-Datum aufrechterhalten. Dies ist besonders wichtig für Unternehmen, die Altsysteme betreiben, die für ihren Betrieb wichtig sind, aber noch nicht für größere Upgrades bereit sind.
Quelle: USN-7015-1