ClickCease Solucionadas múltiples vulnerabilidades de FreeImage en Ubuntu

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Solucionadas múltiples vulnerabilidades de FreeImage en Ubuntu

Rohan Timalsina

21 de febrero de 2024 - Equipo de expertos TuxCare

Se han descubierto múltiples vulnerabilidades en FreeImage, una biblioteca de soporte de código abierto para formatos de imágenes gráficas. Estas vulnerabilidades, si no se solucionan, podrían dar lugar a ataques de denegación de servicio. El 16 de enero de 2024, el equipo de seguridad de Ubuntu publicó actualizaciones de seguridad críticas que solucionaban varias vulnerabilidades de FreeImage en diferentes versiones de Ubuntu, incluidas Ubuntu 16.04 y Ubuntu 18.04.

Sin embargo, ambas versiones han llegado al final de su vida útil, por lo que las actualizaciones de seguridad solo están disponibles si tienes una suscripción a Ubuntu Pro. Como alternativa, puedes optar por una opción asequible para proteger tus cargas de trabajo de Ubuntu 16.04 y Ubuntu 18.04 con el soporte de ciclo de vida ampliado de TuxCare.

TuxCare proporciona cinco años adicionales de parches de seguridad de calidad de proveedor para Ubuntu 16.04 y Ubuntu 18.04 después del periodo EOL. Sin actualizaciones de seguridad, los sistemas EOL corren un alto riesgo de sufrir ataques. Pero con TuxCare, puede seguir recibiendo parches de seguridad y mantener la seguridad, así como el cumplimiento de sus servidores Ubuntu 16.04 y Ubuntu 18.04.

 

Qué es la biblioteca FreeImage

 

La biblioteca FreeImage es una biblioteca de procesamiento de imágenes multiplataforma y de código abierto que admite varios formatos de imagen, como PNG, BMP, JPEG, TIFF y otros. Proporciona a los desarrolladores un completo conjunto de herramientas para cargar, guardar, convertir y manipular imágenes en sus aplicaciones de software. FreeImage se utiliza ampliamente en el desarrollo de software relacionado con gráficos debido a su versatilidad, facilidad de uso y amplio soporte de formatos.

FreeImage está disponible en dos versiones: una distribución DLL binaria, perfectamente enlazable con cualquier compilador C/C++ WIN32 o WIN64, y una distribución fuente. Puede obtenerlas en la página oficial de descargas.

 

Ubuntu corrige 5 vulnerabilidades de FreeImage

 

Como se menciona en el Aviso de Seguridad de Ubuntu, varias versiones de Ubuntu, incluyendo Ubuntu 23.10, Ubuntu 23.04, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04, Ubuntu 16.04 y Ubuntu 14.04 se vieron afectadas.

 

CVE-2019-12211 (puntuación de gravedad de Cvss 3: 7,5 alta)

Esta vulnerabilidad gira en torno al manejo incorrecto de FreeImage de ciertas operaciones de memoria. Los archivos TIFF creados podrían provocar un desbordamiento del búfer de montón, lo que podría conducir a un ataque de denegación de servicio. Esta vulnerabilidad sólo afecta a Ubuntu 16.04 LTS y Ubuntu 20.04 LTS.

 

CVE-2019-12213 (puntuación de gravedad de Cvss 3: 6,5 Media)

En este caso, FreeImage procesa incorrectamente las imágenes bajo ciertas condiciones. De forma similar a la vulnerabilidad anterior, los archivos TIFF manipulados podrían permitir a los atacantes causar una condición de agotamiento de pila, resultando en una denegación de servicio. Ubuntu 16.04 LTS y Ubuntu 20.04 LTS son las únicas versiones afectadas.

 

CVE-2020-21427 y CVE-2020-21428 (puntuación de gravedad de Cvss 3: 7,8 alta)

Estas vulnerabilidades de desbordamiento del búfer tienen su origen en el procesamiento incorrecto por parte de FreeImage de determinadas imágenes a través de un archivo de imagen manipulado. Un atacante remoto podría aprovechar estos fallos para provocar una denegación de servicio o ejecutar código arbitrario.

 

CVE-2020-22524 (puntuación de gravedad Cvss 3: 6,5 Media)

Esta vulnerabilidad está relacionada con el procesamiento incorrecto de determinados archivos de imagen por parte de FreeImage. Un archivo PFM específicamente diseñado podría dar lugar a una vulnerabilidad de desbordamiento de búfer, que puede ser explotada por atacantes para causar una denegación de servicio.

 

Conclusión

 

Las actualizaciones de seguridad de Ubuntu ponen de relieve los esfuerzos que se están realizando para evitar vulnerabilidades en bibliotecas tan populares como FreeImage. Manteniéndose informados y aplicando de forma proactiva los parches de seguridad, los usuarios pueden contribuir a un entorno informático más seguro y resistente. Se recomienda encarecidamente a los usuarios de Ubuntu que actualicen sus versiones de FreeImage a la última versión lo antes posible.

Debian 11 y Debian 12 recibieron las correcciones para estas vulnerabilidades el 17 de diciembre de 2023, y también se aconseja a los usuarios de Debian que actualicen las instalaciones existentes de los paquetes freeimage.

KernelCare Enterprise de TuxCare ofrece servicios de aplicación de parches en vivo para Linux, eliminando la necesidad de reiniciar el sistema o programar ventanas de mantenimiento. Las distribuciones compatibles incluyen todas las distribuciones empresariales populares, como Ubuntu, Debian, RHEL, CentOS, AlmaLinux, Rocky Linux y Oracle Linux. Además, KernelCare Enterprise automatiza el despliegue de parches de seguridad, garantizando su aplicación inmediata en todo su ecosistema Linux.

 

Fuente: USN-6586-1

Resumen
Solucionadas múltiples vulnerabilidades de FreeImage en Ubuntu
Nombre del artículo
Solucionadas múltiples vulnerabilidades de FreeImage en Ubuntu
Descripción
Manténgase informado sobre las recientes actualizaciones de seguridad de Ubuntu que abordan las vulnerabilidades de FreeImage. Aprenda a proteger sus sistemas Ubuntu.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín