BDU:2021-05225
АО "НППКТ", Uploadcare, LLC, АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного программного обесп Astra Linux Special Edition для «Эльбрус», Pillow, АЛЬТ СП 10, Astra Linux Special Edition, ОС ОН «С
2021-07-13
Уязвимость компонента Convert.c библиотеки для работы с изображениями Pillow связана с возможностью передачи параметров непосредственно в функцию. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Pillow: использование рекомендаций производителя: https://pillow.readthedocs.io/en/stable/releasenotes/8.3.0.html#buffer-overflow
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-34552
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Для ОСОН Основа: Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3osnova1
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет pillow до 4.0.0-4+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения pillow до версии 4.0.0-4+deb9u4
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux 1.6 «Смоленск»: обновить пакет pillow до 4.0.0-4+deb9u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16