ГлавнаяБаза уязвимостей БДУ → BDU:2021-05238
5высокая

BDU:2021-05238 (CVE-2021-28676)

Уязвимость компонента FliDecode библиотеки для работы с изображениями Pillow, связанная с выполнением цикла с недоступным условием выхода, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-10-29
Описание

Уязвимость компонента FliDecode библиотеки для работы с изображениями Pillow связана с некорректной проверкой, что продвижение блока ненулевое для данных FLI. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Pillow (до 8.2.0)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Для Pillow:
использование рекомендаций производителя: https://github.com/python-pillow/Pillow/commit/bb6c11fb889e6c11b0ee122b828132ee763b5856

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-28676

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16

Для ОСОН Основа:
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3osnova1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет pillow до 4.0.0-4+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС ОН «Стрелец»:
Обновление программного обеспечения pillow до версии 4.0.0-4+deb9u4

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux Special Edition 1.7 архитектуры x86-64:
обновить пакет pillow до 5.4.1-2+deb10u3+ci202311171309+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0212SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет pillow до 5.4.1-2+deb10u3+ci202311171309+astra4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Оценка CVSS
Балл5 — высокая опасность
Источники и патчи
https://github.com/python-pillow/Pillow/commit/bb6c11fb889e6c11b0ee122b828132ee763b5856https://github.com/python-pillow/Pillow/pull/5377https://nvd.nist.gov/vuln/detail/CVE-2021-28676https://pillow.readthedocs.io/en/stable/releasenotes/8.2.0.html#cve-2021-28676-fix-fli-doshttps://security-tracker.debian.org/tracker/CVE-2021-28676https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена