BDU:2021-05313
АО "НППКТ", Uploadcare, LLC, АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного программного обесп Astra Linux Special Edition для «Эльбрус», Pillow, АЛЬТ СП 10, Astra Linux Special Edition, ОС ОН «С
2021-03-18
Уязвимость реализации readline компонента EPSImageFile библиотеки для работы с изображениями Pillow связана с использованием квадратичного метода накопления строк при поиске конца строки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью вредоносного EPS файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Pillow: использование рекомендаций производителя: https://github.com/python-pillow/Pillow/commit/5a5e6db0abf4e7a638fb1b3408c4e495a096cb92
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-28677
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20211008SE16
Для ОСОН Основа: Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3osnova1
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет pillow до 4.0.0-4+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения pillow до версии 4.0.0-4+deb9u4
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства