Vulnerabilidades críticas de libgit2 corregidas en Ubuntu
libgit2 es una implementación portátil y pura en C de la biblioteca de métodos principales de Git que le permite usar Git dentro de sus propias aplicaciones de software. Esencialmente, permite a los desarrolladores integrar la funcionalidad de Git directamente en sus aplicaciones, como la creación de flujos de trabajo personalizados de Git, IDE y otras herramientas sin depender de la interfaz de línea de comandos de Git. Sin embargo, como cualquier biblioteca de software, libgit2 no es inmune a los fallos de seguridad. Recientemente, el equipo de seguridad de Ubuntu proporcionó correcciones para múltiples vulnerabilidades de libgit2 que afectan a diferentes versiones de Ubuntu, incluidas Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 y Ubuntu 16.04.
Vulnerabilidades de libgit2 solucionadas
CVE-2020-12278 (puntuación de gravedad de CVSS 3: 9,8 crítico)
Se encontró una vulnerabilidad en libgit2 antes de las versiones 0.28.4 y 0.9x antes de 0.99.0. En algunos casos, path.c manejó incorrectamente nombres de archivo equivalentes en particiones NTFS. Esto podría conducir a la ejecución remota de código al clonar un repositorio.
CVE-2020-12279 (puntuación de gravedad de CVSS 3: 9,8 crítico)
Se identificó una vulnerabilidad en las versiones de libgit2 anteriores a la 0.28.4 y 0.9x anteriores a la 0.99.0. checkout.c manejó incorrectamente los nombres de archivo equivalentes en las particiones NTFS. Esta falla podría resultar en la ejecución remota de código al clonar un repositorio.
CVE-2023-22742 (puntuación de gravedad de CVSS 3: 5,9 media)
libgit2 no realizaba la comprobación de certificados de forma predeterminada. La explotación de esta falla podría permitir a un atacante llevar a cabo un ataque de intermediario. Esta vulnerabilidad era específica de las versiones 16.04, 18.04, 20.04 y 22.04 de Ubuntu.
CVE-2024-24575 (puntuación de gravedad de CVSS 3: 7,5 alta)
Se encontró una falla en libgit2 que podría desencadenar un bucle infinito. Explotar esta falla podría conducir a una condición de denegación de servicio. Este problema solo existía en Ubuntu 23.10. Por lo tanto, las versiones de libgit2 anteriores a la 1.4.0 no se ven afectadas. Este problema se ha corregido en las versiones 1.6.5 y 1.7.2.
CVE-2024-24577 (puntuación de gravedad de CVSS 3: 9,8 crítico)
Se encontró una vulnerabilidad en libgit2 relacionada con una gestión inadecuada de la memoria. La explotación de esta falla podría dar lugar a un ataque de denegación de servicio o permitir la ejecución de código arbitrario por parte de un atacante. Este problema se ha corregido en las versiones 1.6.5 y 1.7.2.
Medidas paliativas
Dada la gravedad de las vulnerabilidades de libgit2, es imperativo que los usuarios de las versiones de Ubuntu afectadas apliquen las actualizaciones de seguridad con prontitud. Retrasar los parches podría dejar los sistemas expuestos a posibles explotaciones, por lo que los usuarios deben priorizar la actualización de los paquetes libgit2 a la última versión. Las actualizaciones oportunas garantizan la resiliencia y la seguridad del sistema, protegiendo contra amenazas y vulnerabilidades emergentes.
Los usuarios de Ubuntu 16.04 y Ubuntu 18.04 solo pueden recibir estas actualizaciones si tienen una suscripción a Ubuntu Pro. Sin embargo, es posible que su precio no sea adecuado para aquellos que solo buscan parches. Alternativamente, pueden utilizar el Soporte de Ciclo de Vida Extendido de TuxCare, una solución rentable para asegurar los sistemas Ubuntu al final de su vida útil . Proporciona parches de vulnerabilidad durante cinco años adicionales después de la fecha de finalización y garantiza que sus sistemas permanezcan protegidos. Esto también le da tiempo suficiente para elaborar una estrategia de migración sin tener que apresurarse.
Si tiene preguntas sobre el soporte de ciclo de vida extendido para Ubuntu 16.04 y Ubuntu 18.04, háganos una pregunta y uno de nuestros expertos en seguridad de Linux se comunicará con usted.
Fuente: USN-6678-1