Corregidas varias vulnerabilidades de libheif en Ubuntu
libheif es una biblioteca que permite trabajar con imágenes HEIF (High Efficiency Image File Format) y AVIF (AV1 Image File Format). Recientemente, Canonical ha publicado actualizaciones de seguridad de Ubuntu para solucionar múltiples vulnerabilidades en libheif. Las actualizaciones de seguridad están disponibles para varias versiones de Ubuntu, incluyendo Ubuntu 23.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS y Ubuntu 18.04 ESM.
Vulnerabilidades de libheif que afectan a Ubuntu
Estas vulnerabilidades podrían explotarse mediante ataques a través de archivos especialmente diseñados.
CVE-2019-11471
libheif manejaba incorrectamente ciertos datos de imagen, lo que podía permitir a un atacante bloquear el programa, provocando una denegación de servicio. Esta vulnerabilidad solo afectaba a Ubuntu 18.04.
CVE-2020-23109
El manejo inadecuado de ciertos datos de imagen por parte de libheif podría conducir a una denegación de servicio. Esta vulnerabilidad sólo afectaba a Ubuntu 20.04 LTS.
CVE-2023-0996
Similar a la vulnerabilidad anterior, este fallo está relacionado con el manejo inadecuado de ciertos datos de imagen por parte de libheif. También podría permitir a un atacante causar una denegación de servicio. Este problema sólo afecta a Ubuntu 22.04 LTS, Ubuntu 20.04 LTS y Ubuntu 18.04.
CVE-2023-29659
Esta vulnerabilidad, al igual que la otra, implica un manejo incorrecto de los datos de imagen, lo que puede provocar la caída del programa y la denegación de servicio. Este problema sólo afectaba a Ubuntu 20.04 LTS y Ubuntu 22.04 LTS.
CVE-2023-49460, CVE-2023-49462, CVE-2023-49463, CVE-2023-49463
Se encontraron múltiples vulnerabilidades relacionadas con la forma en que libheif maneja ciertos datos de imagen, que podrían ser explotadas para bloquear el programa y dar lugar a una denegación de servicio. Estos problemas solo afectaban a Ubuntu 23.10.
Cómo mantenerse seguro
Para solucionar estas vulnerabilidades, es esencial actualizar el paquete libheif a las últimas versiones disponibles para su versión de Ubuntu. Actualizar el paquete libheif es sencillo utilizando la herramienta de gestión de paquetes apt.
Puede ejecutar los siguientes comandos para actualizar libheif.
$ sudo apt update
$ sudo apt --only-upgrade install libheif1
Si está ejecutando Ubuntu 18.04, debe saber que ya ha llegado al final de su vida útil en abril de 2023. Esto significa que el sistema operativo ya no recibe actualizaciones de seguridad críticas a través de los repositorios de software estándar. Estas actualizaciones son esenciales para proteger tu sistema de vulnerabilidades recién descubiertas.
Para garantizar la seguridad de tu sistema, tienes dos opciones principales.
Actualizar a una versión Long-Term Support (LTS) más reciente de Ubuntu es el camino recomendado. Las versiones LTS reciben actualizaciones de seguridad durante más tiempo, normalmente cinco años. Esta opción proporciona una base fresca y segura para su sistema junto con el acceso a las últimas características de software.
Alternativamente, puede optar por el soporte extendido. Esto le permite seguir utilizando Ubuntu 18.04, pero viene con una suscripción de pago. El soporte extendido del ciclo de vida de TuxCare para Ubuntu 18.04 ofrece parches de seguridad de calidad de proveedor hasta cinco años después de la fecha de fin de vida. Esto significa que puede proteger sus sistemas Ubuntu al final de su vida útil hasta abril de 2028, ya que recibió el estatus de fin de vida útil en abril de 2023. El ELS de TuxCare proporciona actualizaciones para el kernel de Linux, bibliotecas compartidas comunes como openssl, glib y otros paquetes como python, php, mysql, zlib, etc.
Conclusión
Siguiendo estos pasos, puede asegurarse de que su sistema está protegido contra las vulnerabilidades descubiertas en libheif. La actualización periódica de sus paquetes de software es una práctica fundamental para mantener la seguridad y estabilidad de sus sistemas.
Descubra en este vídeo cómo TuxCare crea los parches de soporte de ciclo de vida ampliado (ELS).
Fuente: USN-6847-1