BDU:2022-00581
АО "НППКТ", Uploadcare, LLC, ООО «Ред Софт», АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного пр Astra Linux Special Edition для «Эльбрус», Pillow, АЛЬТ СП 10, Astra Linux Special Edition, ОС ОН «С
2022-01-25
Уязвимость функции path_getbbox (path.c) библиотеки изображений Python Pillow связана с неверным ограничением пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к произвольным файлам в системе путем отправки специально созданный HTTP-запроса
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Pillow: https://pillow.readthedocs.io/en/stable/releasenotes/9.0.0.html#fixed-imagepath-path-array-handling
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-22815
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа: Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет pillow до 4.0.0-4+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения pillow до версии 4.0.0-4+deb9u4
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства