Support technique
Documentation
Connexion
Nous contacter
TuxCare BlogUbuntu corrige de multiples vulnérabilités de Python 2.7 dans les versions 22.04 et 20.04
par Rohan Timalsina
Le 15 janvier 2025 - L'équipe d'experts de TuxCare
Ubuntu a récemment corrigé plusieurs vulnérabilités de sécurité affectant Python 2.7 dans les versions 22.04 LTS et 20.04 LTS. Ces vulnérabilités, si elles sont exploitées, peuvent potentiellement permettre à des attaquants d'exécuter du code arbitraire, de planter des systèmes ou même de compromettre des données sensibles. Python 2.7 étant toujours au cœur de nombreuses applications et services, il est essentiel que les administrateurs s'assurent que leurs systèmes sont protégés contre ces menaces.
Détails des vulnérabilités de Python 2.7
Examinons de plus près les vulnérabilités qu'Ubuntu a récemment corrigées :
CVE-2022-48560
Cette vulnérabilité provient d'une mauvaise gestion de certains scripts par Python. Un attaquant pourrait exploiter cette faille pour exécuter du code arbitraire, mettant ainsi en danger vos données et vos opérations.
CVE-2022-48565
Ce problème est lié à l'incapacité de Python à gérer correctement les déclarations d'entités XML dans les fichiers plist. Grâce à cette faille, les attaquants peuvent réaliser une injection d'entité externe XML (XXE), ce qui peut conduire à un déni de service ou à l'exposition de données sensibles.
CVE-2022-48566
Ici, la gestion des opérations cryptographiques par Python manque de traitement en temps constant. Cela pourrait permettre à des attaquants d'exploiter des attaques temporelles, en extrayant des informations sensibles des opérations cryptographiques, telles que des mots de passe ou des clés.
CVE-2023-24329
Cette vulnérabilité provient d'une mauvaise gestion par Python d'entrées spécifiques. S'il est amené à traiter une entrée malveillante, un attaquant distant peut exploiter cette faille pour déclencher un déni de service.
CVE-2023-40217
Ce problème concerne la gestion des sockets SSL/TLS par Python. Plus précisément, il permet à des attaquants de contourner la poignée de main TLS, ce qui fait que des données non authentifiées sont traitées comme des données authentifiées. Le système pourrait ainsi accepter des données malveillantes au cours de l'échange.
Correction des vulnérabilités de Python 2.7 dans les systèmes Ubuntu en fin de vie
Les vulnérabilités ci-dessus ont été corrigées dans Ubuntu 22.04 LTS et Ubuntu 20.04 LTS. L'application des dernières mises à jour de sécurité est essentielle pour protéger ces systèmes. Cependant, pour les utilisateurs et les organisations qui utilisent encore des versions d'Ubuntu qui ont déjà atteint leur fin de vie (EOL), telles que 16.04 ou 18.04, les mises à jour de sécurité officielles ne sont plus disponibles à moins qu'ils ne soient inscrits à un abonnement Ubuntu Pro.
Ils peuvent également utiliser une solution plus économique, le Endless Lifecycle Support de TuxCare, qui fournit en permanence des correctifs de vulnérabilité pour protéger leurs systèmes Ubuntu en fin de vie au-delà du cycle de vie pris en charge par le fournisseur.
Contrairement au coûteux Ubuntu Pro, TuxCare offre une maintenance de sécurité étendue abordable avec des mises à jour de sécurité de qualité, ce qui vous permet de sécuriser votre infrastructure et de migrer à votre propre rythme - sans la pression de mises à niveau immédiates.
Conclusion
S'assurer que vos systèmes restent sécurisés, même après avoir atteint la fin de leur durée de vie, est essentiel pour protéger les infrastructures critiques. Avec le support Endless Lifecycle de TuxCare, vous pouvez continuer à recevoir les correctifs de sécurité essentiels pour Ubuntu 16.04 et Ubuntu 18.04 sans avoir à vous précipiter dans des mises à niveau coûteuses.
L'équipe ELS a déjà publié des correctifs pour ces vulnérabilités Python 2.7, vous pouvez trouver plus de détails sur la page CVE tracker. En plus de Python, l'ELS de TuxCare couvre plus de 140 paquets pour Ubuntu 16.04 et 18.04, y compris des composants essentiels comme le noyau Linux, OpenSSL, glibc, OpenSSH, OpenJDK, PHP et Apache. Voir tous les paquets pris en charge ici.
Source : USN-7180-1
