ClickCease Solución de las vulnerabilidades de glibc en Ubuntu EOL

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Solución de las vulnerabilidades de glibc en Ubuntu EOL

por Rohan Timalsina

16 de mayo de 2024 - Equipo de expertos TuxCare

Recientemente, el equipo de seguridad de Ubuntu ha corregido múltiples problemas de seguridad descubiertos en la biblioteca GNU C, comúnmente conocida como glibc. Si no se solucionan, esto puede dejar su sistema expuesto a atacantes que exploten estas vulnerabilidades de glibc. La biblioteca glibc es la base de muchos programas de su sistema. Por lo tanto, es crucial parchear estas vulnerabilidades para mantener la integridad y seguridad de los sistemas Ubuntu.

 

Versiones de Ubuntu afectadas y vulnerabilidades de glibc

 

CVE-2014-9984 (Puntuación CVSS v3: 9,8 Alto)

Esta vulnerabilidad gira en torno a la gestión incorrecta de las solicitudes de netgroup dentro de la biblioteca GNU C. Aunque solo afecta a Ubuntu 14.04 LTS, podría provocar fallos o la ejecución de código arbitrario.

 

CVE-2015-20109 (Puntuación CVSS v3: 5,5 Media)

En este caso, la vulnerabilidad de glibc podría permitir a atacantes dependientes del contexto desencadenar una situación de denegación de servicio. De nuevo, limitado a Ubuntu 14.04 LTS, este fallo subraya la importancia de aplicar rápidamente las actualizaciones.

 

CVE-2018-11236 (Puntuación CVSS v3: 9,8 Alto)

Esta vulnerabilidad pone de manifiesto el riesgo que supone procesar argumentos de nombre de ruta muy largos para la función realpath, especialmente en arquitecturas de 32 bits. El desbordamiento de enteros podría dar lugar a un desbordamiento de búfer basado en pila y, potencialmente, a la ejecución de código arbitrario.

 

CVE-2021-3999 (Puntuación CVSS v3: 7,8 Alto)

En este escenario, la función getcwd de la librería GNU C maneja mal los buffers, presentando una oportunidad para que los atacantes provoquen la caída de la librería.

 

CVE-2024-2961

Descubierta por Charles Fol, esta vulnerabilidad de glibc se debe al manejo incorrecto de ciertas secuencias de entrada en la función iconv de la Biblioteca C de GNU. Esto también podría conducir a una denegación de servicio o a la ejecución de código arbitrario.

 

Medidas paliativas

 

Estas vulnerabilidades de glibc se han identificado en varias versiones de Ubuntu, incluidas Ubuntu 18.04, Ubuntu 16.04 y Ubuntu 14.04. Sin embargo, estas versiones de Ubuntu han llegado al final de su vida útil (EOL), lo que significa que ya no reciben actualizaciones de seguridad gratuitas. Sin embargo, estas versiones de Ubuntu han llegado al final de su vida útil (EOL), lo que significa que ya no reciben actualizaciones de seguridad gratuitas. Las actualizaciones de seguridad sólo están disponibles a través del Mantenimiento de Seguridad Ampliado mediante Ubuntu Pro.

Para los usuarios preocupados por el coste de una suscripción a Ubuntu Pro, existe una alternativa más asequible en forma de "TuxCare's Extended Lifecycle Support". TuxCare ofrece cinco años adicionales de parches de seguridad para Ubuntu 16.04 y Ubuntu 18.04 después de la fecha EOL. Cubre más de 140 paquetes, incluidos glibc, el núcleo de Ubuntu, Python, OpenSSL y muchos otros.

Envíe sus preguntas a un experto en seguridad de TuxCare para obtener asesoramiento sobre cómo proteger sus sistemas Ubuntu al final de su vida útil.

 

Fuente: USN-6762-1

Resumen
Solución de las vulnerabilidades de glibc en Ubuntu EOL
Nombre del artículo
Solución de las vulnerabilidades de glibc en Ubuntu EOL
Descripción
Obtenga información sobre las vulnerabilidades de glibc en las versiones de Ubuntu al final de su ciclo de vida y sobre cómo solucionarlas con Extended Lifecycle Support for Ubuntu.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín