Les mises à jour de sécurité d'Ubuntu corrigent des vulnérabilités de haute gravité
Les récentes mises à jour de sécurité d'Ubuntu ont corrigé plusieurs vulnérabilités de haute sévérité dans différents systèmes d'exploitation Ubuntu, Ubuntu 18.04 ESM, Ubuntu 16.04 ESM, Ubuntu 14.04 ESM, Ubuntu 20.04 LTS, et Ubuntu 23.04. Elle comprend également des correctifs pour de nombreuses vulnérabilités de faible et moyenne gravité, mais nous nous concentrerons sur les vulnérabilités de haute gravité dans ce billet de blog.
Nouvelles mises à jour de sécurité d'Ubuntu
Un attaquant disposant de privilèges d'opération d'invité dans une machine virtuelle cible pourrait élever ses privilèges si un alias d'invité plus privilégié lui était assigné.
Lors de l'envoi d'un message D-Bus au processus accounts-daemon, un attaquant peut utiliser une vulnérabilité de type "use-after-free" dans accountsservice.
Une vulnérabilité de débordement de tampon trouvée dans la fonction "bitwriter_grow_" dans les versions de FLAC antérieures à 1.4.0 permet aux attaquants distants d'exécuter un code arbitraire en fournissant une entrée malveillante à l'encodeur.
Un use-after-free existe dans Python jusqu'à la version 3.9 via heappushpop dans heapq.
Dans ImageMagick versions 7.0.10-45 et 6.9.11-22, il existe un problème de fuite de mémoire qui peut être exploité par des attaquants distants pour exécuter une attaque par déni de service en utilisant la commande "identify -help".
Dans le code responsable du traitement des messages du canal de contrôle dirigés vers le service nommé, des fonctions spécifiques sont invoquées de manière récursive pendant l'analyse des paquets. La taille maximale des paquets limite uniquement la profondeur de la récursivité que le système peut accepter. Dans certaines circonstances, cette récursivité non limitée peut épuiser la mémoire de pile disponible, ce qui entraîne l'arrêt inattendu du processus nommé.
Un problème dans le code réseau responsable de la gestion des requêtes DNS-over-TLS peut entraîner l'arrêt brutal du service nommé en raison d'une défaillance d'assertion. Cela se produit lorsque des structures de données internes sont recyclées de manière erronée en cas de charge importante de requêtes DNS-sur-TLS. Ce problème particulier affecte les versions de BIND 9 allant de 9.18.0 à 9.18.18, y compris 9.18.11-S1 à 9.18.18-S1.
Support du cycle de vie étendu de TuxCare pour Ubuntu
Le terme "fin de vie" d'un système d'exploitation signifie que le fournisseur a mis fin au support officiel. Par conséquent, aucune autre mise à jour, y compris les corrections de bogues et les correctifs de sécurité, n'est fournie en cas de découverte de nouveaux problèmes ou de nouvelles vulnérabilités.
Il est essentiel d'appliquer les dernières mises à jour de sécurité d'Ubuntu dès que possible afin d'éviter tout dommage potentiel au système.
Ubuntu 16.04 et Ubuntu 18.04 ayant déjà atteint leur fin de vie, les entreprises doivent migrer vers les versions du système d'exploitation prises en charge ou utiliser le support de cycle de vie étendu pour atténuer les vulnérabilités potentielles.
TuxCare fournit un plan complet de support du cycle de vie étendu pour Ubuntu 16.04, Ubuntu 18.04 et d'autres distributions Linux qui ont atteint leur statut de fin de vie. Il comprend des correctifs de sécurité de qualité pour le noyau Linux, les bibliothèques communes comme glibc et openssh, ainsi que les paquets de l'espace utilisateur.
TuxCare a également publié des correctifs pour les vulnérabilités susmentionnées affectant Ubuntu 16.04, Ubuntu 18.04 et d'autres systèmes d'exploitation CentOS et Oracle Linux. Pour plus de détails, vous pouvez vous référer à la page CVE Dashboard.
La source de cet article se trouve dans les avis de sécurité d'Ubuntu.