Debian DLA-2716-1:pillow - LTS 安全更新

critical Nessus 插件 ID 152012

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 9 主机上安装的多个程序包受到 dla-2716 公告中提及的多个漏洞影响。

- 在 8.1.0 之前的 Pillow 中,PcxDecode 在解码构建的 PCX 文件时出现缓冲区过度读取,这是因为缓冲区计算信任用户提供的步幅值。(CVE-2020-35653)

- 在 Pillow 8.1.1 之前的版本中发现问题。TiffDecode.c 中存在具有无效大小的负偏移 memcpy。(CVE-2021-25290)

- 在 Pillow 8.2.0 之前的版本中发现问题。对于 FLI 数据,FliDecode 未正确检查区块推进是否非零,这可能导致加载操作无限循环。(CVE-2021-28676)

- 在 Pillow 8.2.0 之前的版本中发现问题。对于 EPS 数据,EPSImageFile 中使用的 readline 实现必须将 \r 和 \n 的任意组合作为行末进行处理。它在查找行末时意外使用了累积行的二次方法。恶意 EPS 文件可利用此漏洞,在接受要打开的图像之前,在打开阶段执行 DoS of Pillow。
(CVE-2021-28677)

- Pillow 至 8.2.0 和 PIL(即 Python Imaging Library)至 1.1.7 允许攻击者直接将受控参数传递至 convert 函数,以触发 Convert.c 中的缓冲区溢出。
(CVE-2021-34552)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级 pillow 程序包。

对于 Debian 9 Stretch,已在版本 4.0.0-4+deb9u3 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/source-package/pillow

https://www.debian.org/lts/security/2021/dla-2716

https://security-tracker.debian.org/tracker/CVE-2020-35653

https://security-tracker.debian.org/tracker/CVE-2021-25290

https://security-tracker.debian.org/tracker/CVE-2021-28676

https://security-tracker.debian.org/tracker/CVE-2021-28677

https://security-tracker.debian.org/tracker/CVE-2021-34552

https://packages.debian.org/source/stretch/pillow

插件详情

严重性: Critical

ID: 152012

文件名: debian_DLA-2716.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2021/7/23

最近更新时间: 2021/7/23

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-34552

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:python-imaging, p-cpe:/a:debian:debian_linux:python-pil, p-cpe:/a:debian:debian_linux:python-pil-dbg, p-cpe:/a:debian:debian_linux:python-pil-doc, p-cpe:/a:debian:debian_linux:python-pil.imagetk, p-cpe:/a:debian:debian_linux:python-pil.imagetk-dbg, p-cpe:/a:debian:debian_linux:python3-pil, p-cpe:/a:debian:debian_linux:python3-pil-dbg, p-cpe:/a:debian:debian_linux:python3-pil.imagetk, p-cpe:/a:debian:debian_linux:python3-pil.imagetk-dbg, cpe:/o:debian:debian_linux:9.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2021/7/22

漏洞发布日期: 2021/1/12

参考资料信息

CVE: CVE-2020-35653, CVE-2021-25290, CVE-2021-28676, CVE-2021-28677, CVE-2021-34552