PT-2021-4557 · Python+9 · Pillow+10
Publicado
2021-07-13
·
Atualizado
2024-06-15
·
CVE-2021-34552
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Pillow versões 8.2.0 e anteriores
PIL (também conhecida como Python Imaging Library) versões 1.1.7 e anteriores
Descrição
O problema está relacionado a um estouro de buffer no arquivo Convert.c, que pode ser acionado pela passagem de parâmetros controlados diretamente para uma função de conversão. Isso pode permitir que um invasor remoto acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço. A vulnerabilidade está associada à implementação das funções convert() ou ImagingConvertTransparent() nas bibliotecas Pillow e PIL, onde a cópia do buffer ocorre sem a verificação do tamanho dos dados de entrada.
Recomendações
Para as versões 8.2.0 e anteriores do Pillow, considere desativar a função convert até que um patch esteja disponível.
Para as versões 1.1.7 e anteriores do PIL (também conhecido como Python Imaging Library), restrinja o acesso à função convert() ou ImagingConvertTransparent() para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Pil
Pillow
Red Hat
Rocky Linux
Suse
Ubuntu