Описание
Уязвимость библиотеки для работы с изображениями Pillow связана с тем, что приложение не контролирует должным образом потребление внутренних ресурсов в TiffImagePlugin.py при настройке контекста для декодирования изображения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов с помощью большого значения в теге SAMPLESPERPIXEL и выполнить атаку типа «отказ в обслуживании»
Вендор
ООО «Ред Софт»
Uploadcare, LLC
АО «ИВК»
Наименование ПО
РЕД ОС
Pillow
АЛЬТ СП 10
Версия ПО
7.3 (РЕД ОС)
до 9.3.0 (Pillow)
- (АЛЬТ СП 10)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Pillow
https://pillow.readthedocs.io/en/stable/releasenotes/9.3.0.html
Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 34%
0.0013
Низкий
7.5 High
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
больше 2 лет назад
Pillow before 9.3.0 allows denial of service via SAMPLESPERPIXEL.
CVSS3: 7.5
nvd
больше 2 лет назад
Pillow before 9.3.0 allows denial of service via SAMPLESPERPIXEL.
CVSS3: 7.5
debian
больше 2 лет назад
Pillow before 9.3.0 allows denial of service via SAMPLESPERPIXEL.
EPSS
Процентиль: 34%
0.0013
Низкий
7.5 High
CVSS3
7.8 High
CVSS2