BDU:2022-00582
АО "НППКТ", Uploadcare, LLC, ООО «Ред Софт», АО «ИВК», АО «Концерн ВНИИНС», Сообщество свободного пр Astra Linux Special Edition для «Эльбрус», Pillow, АЛЬТ СП 10, Astra Linux Special Edition, ОС ОН «С
2022-01-25
Уязвимость функции path_getbbox (path.c) библиотеки изображений Python Pillow связана с чтением за границами буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальной информации с помощью отправки специально сформированного файла
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Pillow: https://pillow.readthedocs.io/en/stable/releasenotes/9.0.0.html#fixed-imagepath-path-array-handling
Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-22816
Для ОС Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОСОН Основа: Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3
Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»: обновить пакет pillow до 4.0.0-4+deb9u4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81
Для ОС ОН «Стрелец»: Обновление программного обеспечения pillow до версии 4.0.0-4+deb9u4
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства