Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2020-5311

Опубликовано: 03 янв. 2020
Источник: redhat
CVSS3: 9.8

Описание

libImaging/SgiRleDecode.c in Pillow before 6.2.2 has an SGI buffer overflow.

An out-of-bounds write flaw was discovered in python-pillow in the way SGI RLE images are decoded. An application that uses python-pillow to decode untrusted images may be vulnerable to this flaw, which can allow an attacker to crash the application or potentially execute code on the system.

Отчет

This issue did not affect the versions of python-pillow and python-imaging as shipped with Red Hat Enterprise Linux 6, and 7 as they did not include the SGI RLE image decoder, where the flaw lies.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 5python-imagingOut of support scope
Red Hat Enterprise Linux 6python-imagingNot affected
Red Hat Enterprise Linux 7python-pillowNot affected
Red Hat Enterprise Linux 8python-pillowFixedRHSA-2020:058024.02.2020
Red Hat Enterprise Linux 8.0 Update Services for SAP Solutionspython-pillowFixedRHSA-2020:056620.02.2020
Red Hat Quay 3quay/clair-rhel8FixedRHSA-2021:042004.02.2021
Red Hat Quay 3quay/quay-bridge-operator-bundleFixedRHSA-2021:042004.02.2021
Red Hat Quay 3quay/quay-bridge-operator-rhel8FixedRHSA-2021:042004.02.2021
Red Hat Quay 3quay/quay-builder-qemu-rhcos-rhel8FixedRHSA-2021:042004.02.2021
Red Hat Quay 3quay/quay-builder-rhel8FixedRHSA-2021:042004.02.2021

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-787
https://bugzilla.redhat.com/show_bug.cgi?id=1789535python-pillow: out-of-bounds write in expandrow in libImaging/SgiRleDecode.c

9.8 Critical

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2020-5311

CVSS3: 9.8
ubuntu
около 6 лет назад

libImaging/SgiRleDecode.c in Pillow before 6.2.2 has an SGI buffer overflow.

nvd логотип

CVE-2020-5311

CVSS3: 9.8
nvd
около 6 лет назад

libImaging/SgiRleDecode.c in Pillow before 6.2.2 has an SGI buffer overflow.

debian логотип

CVE-2020-5311

CVSS3: 9.8
debian
около 6 лет назад

libImaging/SgiRleDecode.c in Pillow before 6.2.2 has an SGI buffer ove ...

github логотип

GHSA-r7rm-8j6h-r933

CVSS3: 9.8
github
больше 3 лет назад

Buffer Copy without Checking Size of Input in Pillow

fstec логотип

BDU:2020-05773

CVSS3: 9.8
fstec
около 6 лет назад

Уязвимость библиотеки для работы с изображениями Pillow, связанная с записью данных за границами буфера в памяти при кодировании изображений SGI в формат RLE, позволяющая нарушителю вызвать отказ в обслуживании

9.8 Critical

CVSS3