Описание
Множественные уязвимости python-pillow
Наименование уязвимого пакета
Пакет обновления
Версия уязвимого пакета младше
Возможные меры по устранению уязвимости
Запретить использование в ОС пакета python3-pillow или Установить обновление для пакета(ов) python3-pillow
Версия ОС
Архитектура ОС
Дата публикации бюллетеня
28.04.2023
CVE-2022-3059
Идентификатор БДУ ФСТЭК России:
BDU:2022-04237Описание уязвимости:
Уязвимость компонента libImaging/TgaRleDecode.c библиотеки для работы с изображениями Pillow связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации.
9.8 Critical
CVSS3
10 Critical
CVSS2
CVE-2022-45199
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки для работы с изображениями Pillow связана с тем, что приложение не контролирует должным образом потребление внутренних ресурсов в TiffImagePlugin.py при настройке контекста для декодирования изображения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать исчерпание ресурсов с помощью большого значения в теге SAMPLESPERPIXEL и выполнить атаку типа «отказ в обслуживании».
7.5 High
CVSS3
7.8 High
CVSS2
CVE-2022-45198
Идентификатор БДУ ФСТЭК России:
Отсутствует
Описание уязвимости:
Уязвимость библиотеки для работы с изображениями Pillow связана с неправильным управлением внутренними ресурсами при работе с сильно сжатыми данными GIF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, передать приложению специально созданный GIF-файл и выполнить атаку типа «отказ в обслуживании».
7.5 High
CVSS3
7.8 High
CVSS2