openSUSE 15 セキュリティ更新 : python-Pillow (SUSE-SU-2024:1607-1)
critical Nessus プラグイン ID 195340
Language:
概要
リモートの openSUSE ホストに 1 つ以上のセキュリティ アップデートがありません。説明
リモートの openSUSE 15 ホストには、SUSE-SU-2024:1607-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- 8.2.0より前の Pillow で問題が発見されました。J2kDecode の j2ku_graya_la に領域外読み取りがあります。(CVE-2021-25287)
- 8.2.0より前の Pillow で問題が発見されました。J2kDecode の j2ku_gray_i に領域外読み取りがあります。(CVE-2021-25288)
- 8.2.0より前の Pillow で問題が発見されました。PSDImagePlugin.PsdImageFile には、データブロックのサイズに関連する入力レイヤーの数のサニティチェックがありませんでした。これにより、Image.load の前に Image.open で DoS が発生する可能性があります。(CVE-2021-28675)
- 8.2.0より前の Pillow で問題が発見されました。FLIデータの場合、FliDecodeは、ブロックアドバンスがゼロではないことを適切にチェックしていませんでした。これにより、ロード時に無限ループが発生する可能性があります。(CVE-2021-28676)
- 8.2.0より前のPillowで問題が発見されました。EPSデータの場合、EPSImageFileで使用されるreadlineの実装は、 \rおよび\nの任意の組み合わせをラインエンディングとして処理する必要があります。これには、ラインエンディングを探すと同時に、偶発的に、行を累積する二次メソッドが使用されていました。悪意のあるEPSファイルがこれを利用して、画像を開くことが承認される前に、開くフェーズでPillowのDoSを実行する可能性があります。
(CVE-2021-28677)
- 8.2.0より前の Pillow で問題が発見されました。BLP データについて、BlpImagePlugin は (ファイルオフセットにジャンプした後の) 読み込みがデータを返すかどうかを適切にチェックしていませんでした。これは、空のデータに対してデコーダーが大量に実行される DoS につながる可能性があります。(CVE-2021-28678)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける python3-Pillow および / または python3-Pillow-tk パッケージを更新してください。参考資料
https://www.suse.com/security/cve/CVE-2021-25287
https://www.suse.com/security/cve/CVE-2021-25288
https://www.suse.com/security/cve/CVE-2021-28675
https://www.suse.com/security/cve/CVE-2021-28676
https://www.suse.com/security/cve/CVE-2021-28677
https://www.suse.com/security/cve/CVE-2021-28678
https://bugzilla.suse.com/1185784
https://bugzilla.suse.com/1185785
https://bugzilla.suse.com/1185786
https://bugzilla.suse.com/1185803
https://bugzilla.suse.com/1185804
https://bugzilla.suse.com/1185805
https://lists.suse.com/pipermail/sle-updates/2024-May/035237.html
プラグインの詳細
深刻度: Critical
ID: 195340
ファイル名: suse_SU-2024-1607-1.nasl
バージョン: 1.0
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2024/5/11
更新日: 2024/5/11
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 4.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P
CVSS スコアのソース: CVE-2021-25288
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/5/10
脆弱性公開日: 2021/6/2
参照情報
CVE: CVE-2021-25287, CVE-2021-25288, CVE-2021-28675, CVE-2021-28676, CVE-2021-28677, CVE-2021-28678
SuSE: SUSE-SU-2024:1607-1