ГлавнаяБаза уязвимостей БДУ → BDU:2022-02242
7.8высокая

BDU:2022-02242 (CVE-2021-23437)

Уязвимость функции getrgb библиотеки для работы с растровой графикой Pillow, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2022-04-14
Описание

Уязвимость функции getrgb библиотеки для работы с растровой графикой Pillow связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Ubuntu (18.04 LTS)Ubuntu (14.04 ESM)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Red Hat Quay (3)Fedora (33)Ubuntu (21.04)Fedora (34)Ubuntu (16.04 ESM)Debian GNU/Linux (11)Ubuntu (21.10)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Pillow (от 5.2.0 до 8.3.2)ОСОН ОСнова Оnyx (до 2.4.3)АЛЬТ СП 10
Способ устранения

Для Pillow:
использование рекомендаций производителя: https://pillow.readthedocs.io/en/stable/releasenotes/8.3.2.html

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-23437

Для Ubuntu:
https://ubuntu.com/security/notices/USN-5227-1
https://ubuntu.com/security/notices/USN-5227-2

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RNSG6VFXTAROGF7ACYLMAZNQV4EJ6I2C/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VKRCL7KKAKOXCVD7M6WC5OKFGL4L3SJT/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23437

Для ОСОН Основа:
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3osnova1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17

Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/python-pillow/Pillow/commit/9e08eb8f78fdfd2f476e1b20b7cf38683754866bhttps://nvd.nist.gov/vuln/detail/CVE-2021-23437https://pillow.readthedocs.io/en/stable/releasenotes/8.3.2.htmlhttps://security-tracker.debian.org/tracker/CVE-2021-23437https://snyk.io/vuln/SNYK-PYTHON-PILLOW-1319443https://ubuntu.com/security/notices/USN-5227-1https://ubuntu.com/security/notices/USN-5227-2https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RNSG6VFXTAROGF7ACYLMAZNQV4EJ6I2C/
Проверьте безопасность своего сайта и почты → Полная проверка домена