Soporte técnico
Documentación
Inicio de sesión
Contáctenos
Blog TuxCareUbuntu corrige múltiples vulnerabilidades de Python 2.7 en 22.04 y 20.04
por Rohan Timalsina
15 de enero de 2025 - Equipo de expertos TuxCare
Ubuntu ha abordado recientemente múltiples vulnerabilidades de seguridad que afectan a Python 2.7 tanto en la versión 22.04 LTS como en la 20.04 LTS. Estas vulnerabilidades, si se aprovechan, podrían permitir a los atacantes ejecutar código arbitrario, bloquear sistemas o incluso comprometer datos confidenciales. Dado que Python 2.7 sigue siendo una parte esencial de muchas aplicaciones y servicios, es crucial que los administradores se aseguren de que sus sistemas están parcheados contra estas amenazas.
Detalles de las vulnerabilidades de Python 2.7
Echemos un vistazo más de cerca a las vulnerabilidades que Ubuntu ha parcheado recientemente:
CVE-2022-48560
Esta vulnerabilidad surge del manejo inadecuado de Python de ciertos scripts. Un atacante podría aprovechar este fallo para ejecutar código arbitrario, poniendo en grave riesgo sus datos y operaciones.
CVE-2022-48565
Este problema está relacionado con el hecho de que Python no gestiona correctamente las declaraciones de entidades XML en archivos plist. A través de este fallo, los atacantes podrían realizar una inyección de entidad externa XML (XXE), lo que podría provocar una denegación de servicio (DoS) o la exposición de datos confidenciales.
CVE-2022-48566
Aquí, el manejo de Python de las operaciones criptográficas carece de procesamiento en tiempo constante. Esto podría permitir a los atacantes explotar ataques de temporización, extrayendo información sensible de las operaciones criptográficas, como contraseñas o claves.
CVE-2023-24329
Esta vulnerabilidad tiene su origen en el manejo inadecuado de entradas específicas por parte de Python. Si se le engaña para que procese una entrada maliciosa, un atacante remoto podría explotar este fallo para provocar una denegación de servicio (DoS).
CVE-2023-40217
Este problema afecta al manejo de los sockets SSL/TLS por parte de Python. Específicamente, permite a los atacantes eludir el protocolo TLS, haciendo que los datos no autenticados sean tratados como autenticados. Esto podría resultar en que el sistema acepte datos maliciosos durante el handshake.
Parcheando vulnerabilidades de Python 2.7 en sistemas Ubuntu EOL
Las vulnerabilidades mencionadas se han corregido en Ubuntu 22.04 LTS y Ubuntu 20.04 LTS. Aplicar las últimas actualizaciones de seguridad es esencial para proteger estos sistemas. Sin embargo, para los usuarios y las organizaciones que todavía utilizan versiones de Ubuntu que ya han alcanzado su Fin de Vida (EOL), como 16.04 o 18.04, las actualizaciones de seguridad oficiales ya no están disponibles a menos que estén inscritos en una suscripción de Ubuntu Pro.
Como alternativa, pueden utilizar una solución más rentable, el Soporte de Ciclo de Vida Interminable de TuxCare, que proporciona parches de vulnerabilidad continuos para proteger sus sistemas Ubuntu al final de su vida útil más allá del ciclo de vida soportado por el proveedor.
A diferencia del costoso Ubuntu Pro, TuxCare ofrece un mantenimiento de seguridad ampliado asequible con actualizaciones de seguridad de nivel de proveedor, lo que le permite proteger su infraestructura y migrar a su propio ritmo, sin la presión de las actualizaciones inmediatas.
Conclusión
Garantizar que sus sistemas sigan siendo seguros, incluso después de llegar al final de su vida útil, es esencial para proteger las infraestructuras críticas. Con Endless Lifecycle Support de TuxCare, puede seguir recibiendo parches de seguridad esenciales para Ubuntu 16.04 y Ubuntu 18.04 sin precipitarse en costosas actualizaciones.
El equipo de ELS ya ha publicado parches para estas vulnerabilidades de Python 2.7, puede encontrar más detalles en la página del rastreador de CVE. Además de Python, el ELS de TuxCare cubre más de 140 paquetes para Ubuntu 16.04 y 18.04, incluyendo componentes esenciales como el kernel de Linux, OpenSSL, glibc, OpenSSH, OpenJDK, PHP y Apache. Vea todos los paquetes compatibles aquí.
Fuente: USN-7180-1
