ГлавнаяБаза уязвимостей БДУ → BDU:2021-05405
10критическая

BDU:2021-05405 (CVE-2021-34552)

Уязвимость реализации функции convert() или ImagingConvertTransparent() библиотек для работы с изображениями Pillow и PIL (Python Imaging Library, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2021-11-11
Описание

Уязвимость реализации функции convert() или ImagingConvertTransparent() библиотек для работы с изображениями Pillow и PIL (Python Imaging Library) связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Red Hat Quay (3)Fedora (33)Fedora (34)Pillow (от 1.0 до 8.2.0 включительно)PIL (Python Imaging Library) (от 1.1.4 до 1.1.7 включительно)ОСОН ОСнова Оnyx (до 2.4.3)АЛЬТ СП 10ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для библиотеки Pillow и PIL (Python Imaging Library):
https://pillow.readthedocs.io/en/stable/releasenotes/8.3.0.html#buffer-overflow
https://pillow.readthedocs.io/en/stable/releasenotes/index.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7V6LCG525ARIX6LX5QRYNAWVDD2MD2SV/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VUGBBT63VL7G4JNOEIPDJIOC34ZFBKNJ/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/07/msg00018.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-34552

Для ОСОН Основа:
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3osnova1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения pillow до версии 4.0.0-4+deb9u4

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://lists.debian.org/debian-lts-announce/2021/07/msg00018.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7V6LCG525ARIX6LX5QRYNAWVDD2MD2SV/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VUGBBT63VL7G4JNOEIPDJIOC34ZFBKNJ/https://pillow.readthedocs.io/en/stable/releasenotes/8.3.0.html#buffer-overflowhttps://pillow.readthedocs.io/en/stable/releasenotes/index.htmlhttps://access.redhat.com/security/cve/cve-2021-34552https://vuldb.com/?id.178628https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/
Проверьте безопасность своего сайта и почты → Полная проверка домена