ГлавнаяБаза уязвимостей БДУ → BDU:2023-02447
7.8высокая

BDU:2023-02447

Уязвимость библиотеки для работы с изображениями Pillow, связанная с ошибкой управления ресурсами, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании»
Опубликовано: 2023-05-10
Описание

Уязвимость библиотеки для работы с изображениями Pillow связана с неправильным управлением внутренними ресурсами при работе с сильно сжатыми данными GIF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании» с помощью специально созданного GIF-файла

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (4.7)Pillow (до 9.2.0)АЛЬТ СП 10ОСОН ОСнова Оnyx (до 2.10)
Способ устранения

Использование рекомендаций:
Для РедОС:
https://redos.red-soft.ru/support/secure/

Для Pillow
https://github.com/python-pillow/Pillow/releases/tag/9.2.0

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u4.osnova1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://bugs.gentoo.org/855683https://cwe.mitre.org/data/definitions/409.htmlhttps://github.com/python-pillow/Pillow/commit/11918eac0628ec8ac0812670d9838361ead2d6a4https://github.com/python-pillow/Pillow/pull/6402https://github.com/python-pillow/Pillow/releases/tag/9.2.0https://security.gentoo.org/glsa/202211-10https://redos.red-soft.ru/support/secure/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена