Python tenía varias vulnerabilidades que incluso podían drenar la batería de nuestros equipos
No existe el sistema operativo perfecto, ni tampoco software que se libre de contener vulnerabilidades. Esta semana, Canonical ha publicado varias en Python, el famoso lenguaje de programación de software que puede terminar en cualquier sistema operativo, sea Linux, macOS, Windows o los móviles y del Internet de las cosas (IoT). Como siempre, la compañía que desarrolla el sistema operativo que da nombre a esta blog ha publicado toda la información después de haber corregido los problemas.
Las vulnerabilidades afectan a todas las versiones de Ubuntu que disfrutan de soporte oficial, que en estos momentos son Ubuntu 19.04 Disco Dingo, Ubuntu 18.04 Bionic Beaver y Ubuntu 16.04 Xenial Xerus, aunque no todas afectan a todos los sistemas operativos. En total, se han corregido 8 vulnerabilidades, seis de ellas de prioridad media y dos de prioridad baja. Ninguna afecta al Ubuntu 19.10 que será lanzado a mediados de octubre.
Vulnerabilidades de Python corregidas esta semana
- CVE-2018-20406: al manejar incorrectamente algunos archivos pickle, un atacante podría usar este fallo para consumir memoria a través de denegación del servicio (DoS). Este fallo solo afecta a Ubuntu 16.04 y Ubuntu 18.04.
- CVE-2018-20852: un atacante podría engañar a Python enviándole cookies al dominio incorrecto, debido a que Python validaba incorrectamente el dominio al manejar las cookies.
- CVE-2019-10160 y CVE-2019-9636: Python manejaba incorrectamente el cifrado Unicode durante la normalización NFKC. Un atacante podría usar esto para obtener información sensible.
- CVE-2019-5010: Python manejaba incorrectamente el análisis de ciertos certificados X509. Un atacante podría usar esto para causar que Python se bloqueara, resultando en denegación de servicio (DoS). Este fallo afectaba a Ubuntu 18.04 y Ubuntu 16.04.
- CVE-2019-9740 y CVE-2019-9947: al manejar incorrectamente algunas urls, un atacante podría usar esto para realizar ataques de inyección CRLF.
- CVE-2019-9948: Python manejaba incorrectamente el esquema local_file:, algo que podía ser usado por un atacante remoto para hacer un bypass a los mecanismos blacklist.
Como ya hemos mencionado, Canonical ya ha corregido todas las vulnerabilidades mencionadas en este artículo, tanto en Ubuntu 19.04 como en Ubuntu 18.04 y Ubuntu 16.04. Lo único que tenemos que hacer es abrir el centro de software (o la app de actualizaciones de nuestra distribución) y aplicar las actualizaciones. Una vez aplicadas, habrá que reiniciar el equipo para asegurarnos de que los parches surten efecto.