ClickCease Aktuelle Python-Schwachstellen in Ubuntu behoben

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Aktuelle Python-Schwachstellen in Ubuntu behoben

von Rohan Timalsina

30. September 2024 - TuxCare-Expertenteam

Mehrere Sicherheitslücken in Python wurden identifiziert und gepatcht. Updates sind für mehrere Ubuntu-Versionen verfügbar, darunter Ubuntu 24.04 LTS, Ubuntu 22.04 LTS und Ubuntu 20.04 LTS. Diese Schwachstellen stellen ernsthafte Sicherheitsrisiken dar, wie z.B. Denial of Service (DoS) und die Möglichkeit, Schutzmechanismen zu umgehen.

In diesem Artikel werden wir die neuesten Python-Schwachstellen untersuchen, wie sie sich auf Systeme auswirken und welche Schritte Sie unternehmen können, um Ihre Umgebung zu sichern.

 

Details zu Python-Sicherheitslücken

 

CVE-2023-27043

In Python-Versionen bis 3.11.3 parst das E-Mail-Modul E-Mail-Adressen, die Sonderzeichen enthalten, falsch. Dies führt dazu, dass der falsche Teil eines RFC2822-Headers als addr-spec Wert. Infolgedessen könnten Angreifer möglicherweise Sicherheitsmechanismen in Anwendungen umgehen, die den Zugriff auf der Grundlage der E-Mail-Verifizierung auf eine bestimmte Domäne gewähren (z. B. nur Adressen von @company.example.com für die Anmeldung). Diese Schwachstelle geht auf die email/_parseaddr.py Datei in neueren Python-Versionen.

 

CVE-2024-6232

Eine Sicherheitslücke mittleren Schweregrades wurde in CPython entdeckt, wo reguläre Ausdrücke in tarfile.TarFile Header-Parsing erlauben exzessives Backtracking. Dies macht das Modul anfällig für Regular Expression Denial of Service (ReDoS) Angriffe durch speziell gestaltete tar-Archive.

 

CVE-2024-6923

Eine Sicherheitslücke mittleren Schweregrades wurde im E-Mail-Modul von CPython entdeckt. Bei der Serialisierung einer E-Mail-Nachricht werden Zeilenumbrüche in E-Mail-Kopfzeilen nicht korrekt in Anführungszeichen gesetzt, was Angriffe durch Header-Injection ermöglichen kann. Eine Header-Injection ist eine Technik, die die Änderung oder Einfügung von nicht autorisierten E-Mail-Header-Feldern ermöglicht, was zu bösartigen Aktivitäten wie Spoofing oder Phishing führen kann.

 

CVE-2024-7592

Eine weitere Schwachstelle besteht im http.cookies Standardbibliotheksmodul von CPython. Beim Parsen von Cookies mit Backslashes in Anführungszeichen kann der Parser eine quadratische Komplexität aufweisen, was zu einer übermäßigen CPU-Auslastung und potenziellen Denial-of-Service (DoS)-Angriffen führt.

 

CVE-2024-8088

Diese Schwachstelle wurde in der Klasse zipfile.Path des CPython-Moduls zipfile entdeckt. Während die am häufigsten verwendete zipfile.ZipFile Klasse nicht betroffen ist, iteriert über Eintragsnamen in einem böswillig erstellten Zip-Archiv (mit Methoden wie namelist(), iterdir()usw.) kann zu einer Endlosschleife führen. Diese Schwachstelle betrifft sowohl das Lesen von Metadaten als auch die Extraktion von Inhalten und kann zu Denial-of-Service-Angriffen (DoS) führen. Programme, die nicht mit benutzergesteuerten Zip-Archiven arbeiten, sind nicht gefährdet.

 

Wie Sie Ihre Systeme schützen können

 

Es ist wichtig, dass Sie Ihre Python-Pakete sofort aktualisieren, um sicherzustellen, dass Ihr System vor diesen Sicherheitslücken geschützt ist. Canonical hat bereits Patches veröffentlicht, um diese Sicherheitslücken in allen unterstützten Versionen von Ubuntu zu schließen.

Ubuntu-Benutzer können die neuesten Sicherheitspatches ganz einfach über den apt-Paketmanager installieren. Wenn Sie die folgenden Befehle ausführen, können Sie auf die sicherste Version von Python aktualisieren:

sudo apt update

sudo apt upgrade python3

Nach der Aktualisierung sollten Sie die installierte Version von Python bestätigen, indem Sie

python3 --version

 

Erwägen Sie den erweiterten Lebenszyklus-Support (ELS)

 

Wenn in Ihrem Unternehmen Ubuntu-End-of-Life-Versionen (EOL) wie Ubuntu 16.04 oder Ubuntu 18.04 im Einsatz sind, sind Sie nicht aufgeschmissen. Der Extended Lifecycle Support (ELS) von TuxCare bietet kritische Sicherheitsupdates für diese Versionen und stellt sicher, dass Sie vor Schwachstellen wie den oben genannten geschützt bleiben.

Der ELS von TuxCare bietet fünf Jahre lang Sicherheitspatches in Herstellerqualität über das EOL-Datum hinaus und deckt über 140 Pakete ab, darunter Python, Linux-Kernel, OpenSSL, glibc und mehr. Dieser Service ist von unschätzbarem Wert für Unternehmen, die ihre Systeme nicht sofort aktualisieren können, aber dennoch zuverlässige Sicherheit benötigen.

Es dehnt seinen Schutz auf eine breite Palette von Linux-Distributionen aus, einschließlich:

Durch die Nutzung des erweiterten Supports können Unternehmen die Sicherheit ihrer Linux-Umgebungen auch nach dem offiziellen EOL-Datum aufrechterhalten. Dies ist besonders wichtig für Unternehmen, die Altsysteme betreiben, die für ihren Betrieb wichtig sind, aber noch nicht für größere Upgrades bereit sind.

 

Quelle: USN-7015-1

Zusammenfassung
Aktuelle Python-Schwachstellen in Ubuntu behoben
Artikel Name
Aktuelle Python-Schwachstellen in Ubuntu behoben
Beschreibung
Lernen Sie die neuesten Python-Schwachstellen kennen und erfahren Sie, wie Sie Ihre Linux-Systeme mit Sicherheitsupdates und erweitertem Lifecycle-Support schützen können.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter