Las actualizaciones de seguridad de Ubuntu parchean vulnerabilidades de alta gravedad
Las recientes actualizaciones de seguridad de Ubuntu han corregido múltiples vulnerabilidades de gravedad alta en diferentes sistemas operativos Ubuntu, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM, Ubuntu 14.04 ESM, Ubuntu 20.04 LTS, y Ubuntu 23.04. También incluye correcciones para múltiples vulnerabilidades de gravedad baja y media, pero en esta entrada del blog nos centraremos en las de gravedad alta.
Nuevas actualizaciones de seguridad de Ubuntu
Un atacante con privilegios de operación de invitado en una máquina virtual objetivo podría escalar sus privilegios si se le asignara un alias de invitado más privilegiado.
Al enviar un mensaje D-Bus al proceso accounts-daemon, un atacante puede utilizar una vulnerabilidad use-after-free en accountsservice.
Una vulnerabilidad de desbordamiento de búfer encontrada en la función "bitwriter_grow_" en versiones de FLAC anteriores a la 1.4.0 permite a atacantes remotos ejecutar código arbitrario suministrando entradas maliciosas al codificador.
Existe un use-after-free en Python hasta la versión 3.9 a través de heappushpop en heapq.
En las versiones 7.0.10-45 y 6.9.11-22 de ImageMagick, existe un problema de pérdida de memoria que puede ser aprovechado por atacantes remotos para ejecutar un ataque de denegación de servicio utilizando el comando "identify -help".
En el código responsable de manejar los mensajes del canal de control dirigidos al servicio nombrado, se invocan recursivamente funciones específicas durante el análisis sintáctico de los paquetes. El tamaño máximo de los paquetes limita únicamente la profundidad de la recursión que el sistema puede aceptar. En determinadas circunstancias, esta recursión descontrolada puede agotar la memoria de pila disponible, provocando la finalización inesperada del proceso nombrado.
Un problema en el código de red responsable de gestionar las consultas DNS-sobre-TLS puede provocar la terminación abrupta del servicio nombrado debido a un fallo de aserción. Esto ocurre cuando las estructuras de datos internas se reciclan erróneamente bajo cargas sustanciales de consultas DNS-sobre-TLS. Este problema concreto afecta a las versiones de BIND 9 comprendidas entre la 9.18.0 y la 9.18.18, incluidas la 9.18.11-S1 y la 9.18.18-S1.
Ciclo de vida ampliado de TuxCare para Ubuntu
El término "fin de vida" de un sistema operativo significa que el proveedor ha finalizado el soporte oficial. En consecuencia, no se proporcionan más actualizaciones, incluidas correcciones de errores y parches de seguridad, en caso de que se descubran nuevos problemas o vulnerabilidades.
Es crucial aplicar las últimas actualizaciones de seguridad de Ubuntu lo antes posible para evitar posibles daños en el sistema.
Ubuntu 16.04 y Ubuntu 18.04 ya han llegado al final de su vida útil, por lo que las organizaciones deben migrar a las versiones del sistema operativo compatibles o utilizar el soporte de ciclo de vida ampliado para mitigar las posibles vulnerabilidades.
TuxCare ofrece un completo plan de soporte de ciclo de vida ampliado para Ubuntu 16.04, Ubuntu 18.04 y otras distribuciones de Linux que hayan llegado al final de su vida útil. Incluye parches de seguridad de nivel de proveedor para el kernel de Linux, bibliotecas comunes compartidas como glibc y openssh, así como paquetes de espacio de usuario.
TuxCare también ha publicado parches para las vulnerabilidades mencionadas que afectan a Ubuntu 16.04, Ubuntu 18.04 y otros sistemas operativos CentOS y Oracle Linux. Para más detalles, puede consultar la página CVE Dashboard.
La fuente de este artículo se puede encontrar en Ubuntu Security Notices.