ClickCease Múltiples vulnerabilidades nghttp2 corregidas en Ubuntu

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Múltiples vulnerabilidades nghttp2 corregidas en Ubuntu

Rohan Timalsina

6 de mayo de 2024 - Equipo de expertos TuxCare

Recientemente, el equipo de seguridad de Ubuntu abordó varias vulnerabilidades en nghttp2, una biblioteca y herramienta C crucial de HTTP/2, en varias versiones de Ubuntu. En este artículo, exploraremos estas vulnerabilidades y comprenderemos sus posibles impactos en el sistema.

 

Vulnerabilidades nghttp2 en Ubuntu

 

CVE-2019-9511 y CVE-2019-9513 (Puntuación CVSS v3: 7,5 Alto)

nghttp2 gestionaba de forma incorrecta la implementación de HTTP/2, lo que suponía una amenaza en la que un atacante remoto podía aprovecharse de este fallo para desencadenar el consumo de recursos y, en última instancia, provocar una denegación de servicio. En particular, esta vulnerabilidad afectaba a las versiones Ubuntu 16.04 y Ubuntu 18.04.

 

CVE-2023-44487 (Puntuación CVSS v3: 7,5 Alto)

Esta vulnerabilidad tenía que ver con el manejo incorrecto de la cancelación de solicitudes dentro de nghttp2, permitiendo potencialmente a atacantes remotos explotar el fallo y consumir recursos, causando una denegación de servicio. Al igual que las vulnerabilidades anteriores, este problema sólo afectaba a Ubuntu 16.04 y Ubuntu 18.04.

 

CVE-2024-28182

Se podía hacer que nghttp2 procesara un número ilimitado de tramas HTTP/2 CONTINUATION. Este fallo permitía a un atacante hacer que nghttp2 consumiera recursos, provocando una denegación de servicio. A diferencia de las vulnerabilidades anteriores, este problema afectaba a nghttp2 en varias versiones de Ubuntu, incluyendo Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS, Ubuntu 18.04 y Ubuntu 16.04.

 

Medidas paliativas

 

Afortunadamente, estas vulnerabilidades han sido parcheadas en las últimas actualizaciones de Ubuntu. Para proteger sus sistemas Ubuntu, se insta a los usuarios a actualizar rápidamente sus sistemas a las últimas versiones de los paquetes. Mediante la aplicación de las actualizaciones necesarias, los usuarios pueden asegurarse de que sus sistemas están protegidos contra posibles exploits dirigidos a estas vulnerabilidades nghttp2.

Dado que Ubuntu 16.04 y Ubuntu 18.04 ya han llegado al final de su vida útil, estas actualizaciones sólo están disponibles con una costosa suscripción a Ubuntu Pro. Como alternativa, los usuarios pueden utilizar soluciones asequibles como el Soporte de Ciclo de Vida Extendido de TuxCare para recibir actualizaciones de seguridad en sus sistemas Ubuntu 16.04 y Ubuntu 18.04. TuxCare ofrece cinco años adicionales de parcheado de vulnerabilidades después de la fecha EOL. Con el soporte ampliado, puede asegurarse de que su sistema permanece protegido frente a nuevas vulnerabilidades mientras puede centrarse en planificar una migración inteligente.

Envíe sus preguntas a un experto en seguridad de TuxCare para saber cómo el soporte de ciclo de vida ampliado le ayuda a proteger su sistema operativo Linux al final de su vida útil.

 

Fuente: USN-6754-1

Resumen
Múltiples vulnerabilidades nghttp2 corregidas en Ubuntu
Nombre del artículo
Múltiples vulnerabilidades nghttp2 corregidas en Ubuntu
Descripción
Conozca las vulnerabilidades de alta gravedad de nghttp2 abordadas en las últimas actualizaciones de seguridad de Ubuntu. Proteja sus sistemas Ubuntu de ataques DoS.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín