Canonical’in Ubuntu Güvenlik Ekibi, Ubuntu’nun çeşitli sürümlerinde popüler bir PDF işleme kitaplığı olan PoDoFo kitaplığını etkileyen birden fazla güvenlik açığına yönelik düzeltmeleri duyurdu.
PoDoFo, Taşınabilir Belge Formatı (PDF) ile çalışmaya yönelik açık kaynaklı bir C++ kitaplığıdır. PDF dosyalarının okunması, yazılması ve değiştirilmesi gibi işlemler için işlevsellik sağlar.
USN-7217-1 olarak tanımlanan danışma belgesi, saldırganların sistemleri bozmasına veya kitaplıktaki kusurlardan yararlanarak kötü amaçlı eylemler gerçekleştirmesine olanak verebilecek güvenlik risklerini ele alıyor.
Güvenlik açıkları aşağıdaki Ubuntu sürümlerini ve bunların türevlerini etkilemektedir:
- Ubuntu 22.04LTS
- Ubuntu 20.04LTS
- Ubuntu 18.04LTS
- Ubuntu 16.04LTS
- Ubuntu 14.04LTS
Güvenlik Açıkları Ayrıntıları
PoDoFo kitaplığında, çeşitli Ubuntu sürümlerini etkileyen ve hazırlanmış PDF dosyalarını işlerken potansiyel olarak hizmet reddine (DoS), arabellek taşmalarına veya rastgele kod yürütülmesine yol açabilecek çeşitli güvenlik açıkları keşfedildi.
CVE-2018-11255, PoDoFo’nun bir PDF’deki sayfa sayısını alırken NULL işaretçisine referans vererek DoS’a yol açabildiği bir boş işaretçi referansı sorunudur.
Bu, Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS ve 20.04 LTS’yi etkiler. CVE-2018-12983, şifreleme anahtarı hesaplaması sırasında hatalı bellek kullanımıyla ilgilenir ve potansiyel olarak arabellek taşmasına neden olarak DoS ile sonuçlanır. Bu sorun, bahsedilen tüm Ubuntu sürümlerini etkilemektedir.
CVE-2018-20797, uygunsuz bellek tahsisi içeriyor ve hazırlanmış bir PDF açıldığında DoS’a yol açıyor. Ubuntu 18.04 LTS, 20.04 LTS ve 22.04 LTS’yi etkiler. CVE-2018-5308, hatalı doğrulama konusunu ele alıyor memcpy DoS’a veya rastgele kod yürütülmesine yol açabilecek argümanlar. Bu güvenlik açığı Ubuntu 14.04 LTS ve 16.04 LTS’de mevcuttur.
CVE-2017-5886, bir arabellek taşması sorunudur GetNextToken potansiyel olarak DoS’a neden olan bir işlevdir. Bu yalnızca Ubuntu 16.04 LTS’yi etkiler. CVE-2018-8002, CVE-2020-18971, CVE-2021-30471 ve CVE-2021-30470, yığın taşmasına neden olabilecek ve DoS’a veya rastgele kod yürütülmesine neden olabilecek sonsuz bir döngü içerir. Bu, Ubuntu 20.04 LTS ve 22.04 LTS’yi etkiler.
Son olarak, CVE-2019-10723, doğrulanmamış bellek tahsisi nedeniyle geçersiz bellek tahsisi içeriyor nInitialSizeBu da DoS’a yol açabilir. Bu sorun Ubuntu 14.04 LTS, 16.04 LTS, 18.04 LTS ve 20.04 LTS’yi etkilemektedir.
Etkilenen Ubuntu sürümlerinin kullanıcılarının, bu kritik güvenlik açıklarını gidermek için sistemlerini derhal güncellemeleri önerilir.
PoDoFo kütüphanesinin aşağıdakiler de dahil olmak üzere birçok kritik güvenlik açığı içerdiği tespit edildi:
Bağlantı olarak CVE kimliklerini içeren güncellenmiş tabloyu burada bulabilirsiniz:
| CVE Kimliği | Güvenlik Açığı Açıklaması | Etkilenen Ubuntu Sürümleri | Darbe |
|---|---|---|---|
| CVE-2018-11255 | Hazırlanmış PDF’leri işlerken NULL işaretçi referansının silinmesi. | 14.04, 16.04, 18.04, 20.04 | Hizmet Reddi (DoS) |
| CVE-2018-12983 | Şifreleme anahtarı hesaplaması sırasında arabellek taşması. | Etkilenen tüm sürümler | Hizmet Reddi (DoS) |
| CVE-2018-20797 | Hizmet reddine yol açan hatalı bellek tahsisi. | 18.04, 20.04, 22.04 | Hizmet Reddi (DoS) |
| CVE-2018-5308 | Geçersiz memcpy Kötü amaçlı PDF’ler yoluyla argüman yönetimi. |
14.04, 16.04 | DoS veya Uzaktan Kod Yürütme |
| CVE-2017-5886 | Arabellek taşması GetNextToken işlev. |
16.04 | Hizmet Reddi (DoS) |
| CVE-2018-8002, CVE-2020-18971, CVE-2021-30470, CVE-2021-30471 | Sonsuz döngü ve yığın taşması güvenlik açıkları. | 20.04, 22.04 | DoS veya Keyfi Kod Yürütme |
| CVE-2019-10723 | Bellek ayırma doğrulama hatası, uygunsuz bellek kontrollerinden yararlanılması. | 14.04, 16.04, 18.04, 20.04 | Hizmet Reddi (DoS) |
Bir kullanıcının veya uygulamanın kötü amaçla oluşturulmuş bir PDF dosyasını açması için kandırıldığını varsayalım. Bu durumda saldırganlar bu güvenlik açıklarından yararlanarak hizmet reddine, yığın taşmasına neden olabilir ve hatta rastgele kod çalıştırabilir. Bu, sistem çökmelerine veya hassas verilerin tehlikeye atılmasına yol açabilir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Düzeltmeler ve Güncellemeler
Canonical, riskleri azaltmak için en son paket sürümlerine güncelleme yapmanızı önerir. Güncellemeler artık şu adreste mevcut: Ubuntu Proeski Ubuntu sürümleri için genişletilmiş güvenlik bakımı (ESM) sağlayan bir hizmet.
Güncellenmiş Paket Sürümleri:
| Ubuntu Sürümü | Etkilenen Paketler ve Sürümler |
|---|---|
| Ubuntu 22.04LTS | libpodofo0.9.7 Ve libpodofo-utils versiyon 0.9.7+dfsg-3ubuntu0.1~esm1 |
| Ubuntu 20.04LTS | Sürüm 0.9.6+dfsg-5ubuntu0.1~esm1 |
| Ubuntu 18.04LTS | Sürüm 0.9.5-9ubuntu0.1~esm1 |
| Ubuntu 16.04LTS | Sürüm 0.9.3-4ubuntu0.1~esm1 |
| Ubuntu 14.04LTS | Sürüm 0.9.0-1.2ubuntu0.1~esm3 |
Kullanıcılar güncellemeleri sistemin standart yazılım güncelleme araçlarını kullanarak uygulayabilirler.
Canonical, tüm yamaların uygulandığından emin olmak için kullanıcılara aşağıdaki komutla bir sistem güncellemesi yapmalarını tavsiye eder:
sudo apt-get update && sudo apt-get upgradeBu güncellemelere erişmek isteyen eski sürümlerdeki kullanıcılar, bu güncellemelere sahip olduklarından emin olmalıdır. Ubuntu Pro etkinleştirilmiş. Ubuntu Pro, eski sistemler için uzatılmış bir destek süresi sunarak güvenlik uyumluluğunun sürekliliğini sağlar.
Jenkins & Jira’yı Kullanarak Uygulama Güvenliğini CI/CD İş Akışlarınıza Entegre Etme -> Ücretsiz Web Semineri