Описание
Уязвимость функции getrgb библиотеки для работы с растровой графикой Pillow связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор
Сообщество свободного программного обеспечения
Canonical Ltd.
Red Hat Inc.
Fedora Project
ООО «РусБИТех-Астра»
Uploadcare, LLC
АО "НППКТ"
АО «ИВК»
Наименование ПО
Debian GNU/Linux
Ubuntu
Red Hat Quay
Fedora
Astra Linux Special Edition
Pillow
ОСОН ОСнова Оnyx
АЛЬТ СП 10
Версия ПО
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
14.04 ESM (Ubuntu)
10 (Debian GNU/Linux)
20.04 LTS (Ubuntu)
3 (Red Hat Quay)
33 (Fedora)
21.04 (Ubuntu)
34 (Fedora)
16.04 ESM (Ubuntu)
11 (Debian GNU/Linux)
21.10 (Ubuntu)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
от 5.2.0 до 8.3.2 (Pillow)
до 2.4.3 (ОСОН ОСнова Оnyx)
- (АЛЬТ СП 10)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 14.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Canonical Ltd. Ubuntu 20.04 LTS
Fedora Project Fedora 33
Canonical Ltd. Ubuntu 21.04
Fedora Project Fedora 34
Canonical Ltd. Ubuntu 16.04 ESM
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Canonical Ltd. Ubuntu 21.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.4.3
АО «ИВК» АЛЬТ СП 10 -
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Для Pillow:
использование рекомендаций производителя: https://pillow.readthedocs.io/en/stable/releasenotes/8.3.2.html
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-23437
Для Ubuntu:
https://ubuntu.com/security/notices/USN-5227-1
https://ubuntu.com/security/notices/USN-5227-2
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/RNSG6VFXTAROGF7ACYLMAZNQV4EJ6I2C/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VKRCL7KKAKOXCVD7M6WC5OKFGL4L3SJT/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-23437
Для ОСОН Основа:
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u3osnova1
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0319SE17
Для ОС Astra Linux:
обновить пакет pillow до 5.4.1-2+deb10u6.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 40%
0.00179
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
больше 4 лет назад
The package pillow 5.2.0 and before 8.3.2 are vulnerable to Regular Expression Denial of Service (ReDoS) via the getrgb function.
CVSS3: 7.5
redhat
больше 4 лет назад
The package pillow 5.2.0 and before 8.3.2 are vulnerable to Regular Expression Denial of Service (ReDoS) via the getrgb function.
CVSS3: 7.5
nvd
больше 4 лет назад
The package pillow 5.2.0 and before 8.3.2 are vulnerable to Regular Expression Denial of Service (ReDoS) via the getrgb function.
CVSS3: 7.5
debian
больше 4 лет назад
The package pillow 5.2.0 and before 8.3.2 are vulnerable to Regular Ex ...
EPSS
Процентиль: 40%
0.00179
Низкий
7.5 High
CVSS3
7.8 High
CVSS2