Ubuntu-Sicherheitsupdates beheben hochgefährliche Sicherheitslücken
Die jüngsten Ubuntu-Sicherheitsupdates beheben mehrere Sicherheitslücken von hohem Schweregrad in verschiedenen Ubuntu-Betriebssystemen, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM, Ubuntu 14.04 ESM, Ubuntu 20.04 LTS und Ubuntu 23.04. Es enthält auch Korrekturen für mehrere Schwachstellen mit niedrigem und mittlerem Schweregrad, aber wir werden uns in diesem Blog-Beitrag auf den hohen Schweregrad konzentrieren.
Neue Ubuntu-Sicherheitsupdates
Ein Angreifer mit Guest Operation Privileges in einer virtuellen Zielmaschine könnte seine Privilegien ausweiten, wenn ihm ein privilegierterer Guest Alias zugewiesen wird.
Beim Senden einer D-Bus-Nachricht an den accounts-daemon-Prozess kann ein Angreifer eine use-after-free-Schwachstelle in accountsservice ausnutzen.
Eine Pufferüberlauf-Schwachstelle, die in der "bitwriter_grow_"-Funktion in Versionen von FLAC vor 1.4.0 gefunden wurde, erlaubt entfernten Angreifern, beliebigen Code auszuführen, indem sie bösartige Eingaben an den Encoder übergeben.
Ein Use-after-free existiert in Python bis 3.9 über heappushpop in heapq.
In den ImageMagick-Versionen 7.0.10-45 und 6.9.11-22 gibt es ein Speicherleck, das von entfernten Angreifern ausgenutzt werden kann, um mit dem Befehl "identify -help" einen Denial-of-Service-Angriff durchzuführen.
In dem Code, der für die Bearbeitung der an den benannten Dienst gerichteten Kontrollkanalnachrichten zuständig ist, werden beim Parsen der Pakete bestimmte Funktionen rekursiv aufgerufen. Die maximale Paketgröße schränkt lediglich die Tiefe der Rekursion ein, die das System akzeptieren kann. Unter bestimmten Umständen kann diese unkontrollierte Rekursion den verfügbaren Stapelspeicher aufbrauchen, was zum unerwarteten Abbruch des genannten Prozesses führt.
Ein Problem innerhalb des Netzwerkcodes, der für die Verwaltung von DNS-over-TLS-Abfragen verantwortlich ist, kann zum abrupten Abbruch des genannten Dienstes aufgrund eines Assertion-Fehlers führen. Dies tritt auf, wenn interne Datenstrukturen bei einer hohen Anzahl von DNS-over-TLS-Anfragen fälschlicherweise recycelt werden. Dieses spezielle Problem betrifft BIND 9 Versionen von 9.18.0 bis 9.18.18, einschließlich 9.18.11-S1 bis 9.18.18-S1.
TuxCare's erweiterte Lebenszyklus-Unterstützung für Ubuntu
Der Begriff "End of Life" für ein Betriebssystem bedeutet, dass der Hersteller den offiziellen Support eingestellt hat. Folglich werden im Falle der Entdeckung neuer Probleme oder Schwachstellen keine weiteren Updates, einschließlich Fehlerbehebungen und Sicherheitspatches, bereitgestellt.
Es ist wichtig, die neuesten Ubuntu-Sicherheitsupdates so bald wie möglich zu installieren, um mögliche Schäden am System zu vermeiden.
Ubuntu 16.04 und Ubuntu 18.04 haben bereits das Ende ihrer Lebensdauer erreicht, so dass Unternehmen auf die unterstützten Betriebssystemversionen migrieren oder den erweiterten Lebenszyklus-Support nutzen müssen, um die potenziellen Schwachstellen zu entschärfen.
TuxCare bietet einen umfassenden Extended Lifecycle Support Plan für Ubuntu 16.04, Ubuntu 18.04 und andere Linux-Distributionen, die den End-of-Life-Status erreicht haben. Er umfasst Sicherheitspatches in Herstellerqualität für den Linux-Kernel, gemeinsam genutzte Bibliotheken wie glibc und openssh sowie User-Space-Pakete.
TuxCare hat auch Patches für die oben genannten Sicherheitslücken veröffentlicht, die Ubuntu 16.04, Ubuntu 18.04 und andere CentOS- und Oracle Linux-Betriebssysteme betreffen. Weitere Details finden Sie auf der Seite CVE Dashboard.
Die Quelle für diesen Artikel finden Sie unter Ubuntu Security Notices.