Technischer Support
Dokumentation
Anmeldung
Kontakt
Ubuntu hat kürzlich mehrere Sicherheitslücken geschlossen, die Python 2.7 sowohl in der Version 22.04 LTS als auch in der Version 20.04 LTS betreffen. Wenn diese Schwachstellen ausgenutzt werden, können Angreifer möglicherweise beliebigen Code ausführen, Systeme zum Absturz bringen oder sogar sensible Daten kompromittieren. Da Python 2.7 immer noch ein zentraler Bestandteil vieler Anwendungen und Dienste ist, müssen Administratoren unbedingt sicherstellen, dass ihre Systeme gegen diese Bedrohungen gepatcht sind.
Python 2.7 Sicherheitslücken Details
Werfen wir einen genaueren Blick auf die Sicherheitslücken, die Ubuntu kürzlich gepatcht hat:
CVE-2022-48560
Diese Sicherheitslücke entsteht durch den unsachgemäßen Umgang von Python mit bestimmten Skripten. Ein Angreifer könnte diese Schwachstelle ausnutzen, um beliebigen Code auszuführen, wodurch Ihre Daten und Ihr Betrieb ernsthaft gefährdet wären.
CVE-2022-48565
Dieses Problem hängt damit zusammen, dass Python XML-Entity-Deklarationen in plist-Dateien nicht korrekt behandelt. Durch diesen Fehler können Angreifer eine XML External Entity (XXE)-Injektion durchführen, was zu einem Denial-of-Service (DoS) oder zur Offenlegung sensibler Daten führen kann.
CVE-2022-48566
Bei der Verarbeitung von Krypto-Operationen in Python fehlt es an einer zeitlich konstanten Verarbeitung. Dies könnte es Angreifern ermöglichen, Timing-Angriffe auszunutzen und sensible Informationen aus kryptografischen Operationen wie Passwörter oder Schlüssel zu extrahieren.
CVE-2023-24329
Diese Schwachstelle rührt von der unsachgemäßen Behandlung bestimmter Eingaben durch Python her. Wenn ein entfernter Angreifer dazu gebracht wird, eine böswillige Eingabe zu verarbeiten, kann er diese Schwachstelle ausnutzen, um einen Denial-of-Service (DoS) auszulösen.
CVE-2023-40217
Dieses Problem betrifft den Umgang von Python mit SSL/TLS-Sockets. Insbesondere ermöglicht es Angreifern, den TLS-Handshake zu umgehen, was dazu führt, dass nicht authentifizierte Daten als authentifiziert behandelt werden. Dies könnte dazu führen, dass das System während des Handshakes bösartige Daten akzeptiert.
Patches für Python 2.7 Sicherheitslücken in EOL Ubuntu Systemen
Die oben genannten Sicherheitslücken wurden in Ubuntu 22.04 LTS und Ubuntu 20.04 LTS behoben. Die Anwendung der neuesten Sicherheitsupdates ist unerlässlich, um diese Systeme vor Ubuntu-Schwachstellen zu schützen. Für Benutzer und Organisationen, die noch Ubuntu-Versionen verwenden, die bereits ihr End of Life (EOL) erreicht haben, wie z. B. 16.04 oder 18.04, sind jedoch keine offiziellen Sicherheitsupdates mehr verfügbar, es sei denn, sie haben ein Ubuntu Pro-Abonnement abgeschlossen.
Alternativ können sie eine kostengünstigere Lösung nutzen, den Endless Lifecycle Support von TuxCare, der fortlaufend Schwachstellen-Patches bereitstellt, um ihre ausgedienten Ubuntu-Systeme über den vom Hersteller unterstützten Lebenszyklus hinaus zu schützen.
Im Gegensatz zum teuren Ubuntu Pro bietet TuxCare eine erschwingliche erweiterte Sicherheitswartung mit Sicherheitsupdates in Herstellerqualität, so dass Sie Ihre Infrastruktur sichern und in Ihrem eigenen Tempo migrieren können - ohne den Druck sofortiger Upgrades.
Schlussfolgerung
Für den Schutz kritischer Infrastrukturen ist es wichtig, dass Ihre Systeme auch nach dem Erreichen des End-of-Life sicher bleiben. Mit dem Endless Lifecycle Support von TuxCare können Sie weiterhin wichtige Sicherheitspatches für Ubuntu 16.04 und Ubuntu 18.04 erhalten, ohne sich in kostspielige Upgrades zu stürzen.
Das ELS-Team hat bereits Patches für diese Sicherheitslücken in Python 2.7 veröffentlicht. Weitere Details finden Sie auf der CVE-Tracker-Seite. Zusätzlich zu Python deckt der ELS von TuxCare über 140 Pakete für Ubuntu 16.04 und 18.04 ab, darunter wichtige Komponenten wie den Linux-Kernel, OpenSSL, glibc, OpenSSH, OpenJDK, PHP und Apache. Alle unterstützten Pakete finden Sie hier.
Quelle: USN-7180-1
