Mehrere libheif-Schwachstellen in Ubuntu behoben
libheif ist eine Bibliothek, die es Ihnen ermöglicht, mit HEIF- (High Efficiency Image File Format) und AVIF- (AV1 Image File Format) Bildern zu arbeiten. Kürzlich hat Canonical Ubuntu-Sicherheitsupdates veröffentlicht, um mehrere Sicherheitslücken in libheif zu schließen. Die Sicherheitsupdates sind für verschiedene Ubuntu-Versionen verfügbar, darunter Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS und Ubuntu 18.04 ESM.
libheif-Schwachstellen, die Ubuntu betreffen
Diese Schwachstellen können durch Angriffe mittels speziell gestalteter Dateien ausgenutzt werden.
CVE-2019-11471
libheif behandelte bestimmte Bilddaten falsch, was einem Angreifer erlauben könnte, das Programm zum Absturz zu bringen, was zu einem Denial-of-Service führen könnte. Diese Sicherheitslücke betrifft nur Ubuntu 18.04.
CVE-2020-23109
Die unsachgemäße Behandlung bestimmter Bilddaten durch libheif könnte zu einem Denial-of-Service führen. Diese Sicherheitslücke betrifft nur Ubuntu 20.04 LTS.
CVE-2023-0996
Ähnlich wie bei der oben genannten Schwachstelle bezieht sich dieser Fehler auf die unsachgemäße Behandlung bestimmter Bilddaten durch libheif. Es könnte auch einem Angreifer erlauben, einen Denial-of-Service zu verursachen. Dieses Problem betrifft nur Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, und Ubuntu 18.04.
CVE-2023-29659
Diese Sicherheitslücke, wie auch die andere, beinhaltet eine falsche Handhabung von Bilddaten, was zu einem Programmabsturz und einer Dienstverweigerung führen kann. Dieses Problem betrifft nur Ubuntu 20.04 LTS und Ubuntu 22.04 LTS.
CVE-2023-49460, CVE-2023-49462, CVE-2023-49463, CVE-2023-49463
Es wurden mehrere Schwachstellen im Zusammenhang mit dem Umgang von libheif mit bestimmten Bilddaten gefunden, die ausgenutzt werden könnten, um das Programm zum Absturz zu bringen und eine Dienstverweigerung zu verursachen. Diese Probleme betrafen nur Ubuntu 23.10.
Wie man sicher bleibt
Um diese Schwachstellen zu beheben, ist es wichtig, das libheif-Paket auf die neuesten Versionen zu aktualisieren, die für Ihre Ubuntu-Version verfügbar sind. Die Aktualisierung des libheif-Pakets ist mit dem apt-Paketmanager-Tool ganz einfach.
Sie können die folgenden Befehle ausführen, um libheif zu aktualisieren.
$ sudo apt update
$ sudo apt --only-upgrade install libheif1
Wenn Sie Ubuntu 18.04 verwenden, sollten Sie wissen, dass es bereits im April 2023 das Ende seiner Lebensdauer erreicht hat. Das bedeutet, dass das Betriebssystem keine kritischen Sicherheitsupdates mehr über die Standard-Software-Repositories erhält. Diese Updates sind wichtig, um Ihr System vor neu entdeckten Sicherheitslücken zu schützen.
Um die Sicherheit Ihres Systems zu gewährleisten, haben Sie im Wesentlichen zwei Möglichkeiten.
Ein Upgrade auf eine neuere Long-Term Support (LTS) -Version von Ubuntu ist der empfohlene Weg. LTS-Versionen erhalten Sicherheitsupdates für einen längeren Zeitraum, in der Regel fünf Jahre. Diese Option bietet eine neue und sichere Grundlage für Ihr System sowie Zugang zu den neuesten Softwarefunktionen.
Alternativ können Sie sich für den erweiterten Support entscheiden. Damit können Sie Ubuntu 18.04 weiter nutzen, müssen aber ein kostenpflichtiges Abonnement abschließen. Der erweiterte Lifecycle-Support von TuxCare für Ubuntu 18.04 bietet Sicherheitspatches in Herstellerqualität für bis zu fünf Jahre nach dem End-of-Life-Datum. Das bedeutet, dass Sie Ihre auslaufenden Ubuntu-Systeme bis April 2028 absichern können, da Ubuntu im April 2023 den End-of-Life-Status erhielt. TuxCare's ELS bietet Updates für den Linux-Kernel, gemeinsame Bibliotheken wie openssl, glib und verschiedene andere Pakete wie python, php, mysql, zlib und mehr.
Schlussfolgerung
Wenn Sie diese Schritte befolgen, können Sie sicherstellen, dass Ihr System gegen die in libheif entdeckten Sicherheitslücken geschützt ist. Die regelmäßige Aktualisierung Ihrer Softwarepakete ist eine wichtige Maßnahme, um die Sicherheit und Stabilität Ihrer Systeme zu gewährleisten.
In diesem Video erfahren Sie, wie TuxCare Extended Lifecycle Support (ELS) Patches erstellt.
Quelle: USN-6847-1