ГлавнаяБаза уязвимостей БДУ → BDU:2023-02448
7.8высокая

BDU:2023-02448

Уязвимость библиотеки для работы с изображениями Pillow, связанная с неконтролируемым потреблением ресурсов, позволяющая нарушителю выполнить атаку типа «отказ в обслуживании»
Опубликовано: 2023-05-10
Описание

Уязвимость библиотеки для работы с изображениями Pillow связана с тем, что приложение не контролирует должным образом потребление внутренних ресурсов в TiffImagePlugin.py при настройке контекста для декодирования изображения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов с помощью большого значения в теге SAMPLESPERPIXEL и выполнить атаку типа «отказ в обслуживании»

Затрагиваемое ПО и версии
РЕД ОС (7.3)Pillow (до 9.3.0)АЛЬТ СП 10
Способ устранения

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Pillow
https://pillow.readthedocs.io/en/stable/releasenotes/9.3.0.html

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://redos.red-soft.ru/support/secure/https://bugs.gentoo.org/878769https://github.com/python-pillow/Pillow/commit/2444cddab2f83f28687c7c20871574acbb6dbcf3https://github.com/python-pillow/Pillow/pull/6700https://github.com/python-pillow/Pillow/releases/tag/9.3.0https://security.gentoo.org/glsa/202211-10https://pillow.readthedocs.io/en/stable/releasenotes/9.3.0.htmlhttps://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена