Vulnerabilidad en Ghostscript podía usarse para acceder a archivos arbitrarios en Ubuntu

Vulnerabilidades en Ubuntu: Ghostscript y Ceph

Hace unas horas, Canonical ha publicado un informe en el que habla de una vulnerabilidad en Ghostscript que afecta a todas las versiones de Ubuntu que aún disfrutan de soporte en su ciclo de vida normal. En estos momentos, esas versiones son Ubuntu 19.04 Disco Dingo, Ubuntu 18.04 LTS Bionic Beaver y Ubuntu 16.04 LTS Xenial Xerus. El software afectado es «ghostscript – interpretador de PostScript y PDF» y los parches corrigen un total de 4 vulnerabilidades CVE.

Las vulnerabilidades detectadas y ya corregidas son las CVE-2019-14811, CVE-2019-14812, CVE-2019-14813 y CVE-2019-14817, todas ellas tratadas como de urgencia media. Las cuatro comparten gran parte de una descripción que detalla un «ByPass de Safer Mode por exposición .forceput en» .pdf_hook_DSC_Creator, setuserparams, setsystemparams y .pdfexectoken respectivamente. Los paquetes que hay que actualizar son ghostscript – 9.26~dfsg+0-0ubuntu7.3 y libgs9 – 9.26~dfsg+0-0ubuntu7.3 en Ubuntu 19.04, ghostscript – 9.26~dfsg+0-0ubuntu0.18.04.11 y libgs9 – 9.26~dfsg+0-0ubuntu0.18.04.11 en Ubuntu 18.04 y ghostscript – 9.26~dfsg+0-0ubuntu0.16.04.11 y libgs9 – 9.26~dfsg+0-0ubuntu0.16.04.11 en Ubuntu 16.04.

La vulnerabilidad en Ghostscript ha llegado junto a una en Ceph

Esta vulnerabilidad en Ghostscript no es la única que ha publicado Canonical hoy. Poco tiempo después también ha informado de otra, en este caso en «ceph – almacenamiento distribuido y sistema de archivos«, que afecta a Ubuntu 19.04 y Ubuntu 18.04. El fallo tratado y ya corregido es el CVE-2019-10222 y detalla otra vulnerabilidad de urgencia media en la que Ceph se podía usar para bloquearse si recibía trafico de redes especialmente diseñado. Un atacante remoto podría usar este fallo para provocar denegación de servicio (DoS). Los parches que hay que aplicar en este caso son los ceph – 13.2.6-0ubuntu0.19.04.3 y radosgw – 13.2.6-0ubuntu0.19.04.3 en Ubuntu 19.04 y ceph – 12.2.12-0ubuntu0.18.04.2 y radosgw – 12.2.12-0ubuntu0.18.04.2 en Ubuntu 18.04.

Todos los parches están ya disponibles como actualización, por lo que aplicarlos y protegernos de las vulnerabilidades mencionadas en este artículo es tan sencillo como abrir la aplicación Actualización de Software o cualquier centro de software y aplicar las actualizaciones.

Vulnerabilidad PHP corregida
Artículo relacionado:
Canonical soluciona una vulnerabilidad PHP en todas las versiones de Ubuntu soportadas

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

      Fernando dijo

    Lo de siempre, solo hay que mantener nuestro Ubuntu bien actualizado y no hay motivos para estar preocupados. Gracias por la información.