リモートのUbuntu 16.04 LTS/18.04 LTS/20.04 LTS/20.10ホストには、USN-4697-1のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  -8.1.0の前のPillowで、細工されたPCXファイルを復号化する際に、ユーザーが提供したストライド値がバッファ計算のために信頼されているので、PcxDecodeには、バッファオーバーリードがあります。(CVE-2020-35653) 

  -8.1.0の前の Pillowで、細工されたYCbCrファイルを復号化する際に、RGBAモードでのLibTIFFと一定の解釈の競合があるために、TiffDecodeには、ヒープベースのバッファオーバーフローがあります。(CVE-2020-35654) 

  -8.1.0の前のPillowで、細工されたSGIのRLEイメージファイルを復号化する際に、オフセットと長テーブルが誤って処理されるために、SGIRleDecodeには、4バイトのバッファオーバーリードがあります。(CVE-2020-35655) 

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

検出

Ubuntu 16.04 LTS / 18.04 LTS / 20.04 LTS : Pillowの脆弱性 (USN-4697-1)

high Nessus プラグイン ID 145048

バージョン 1.7