2020-0012: Python Pillow: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2020-01-07 13:08)
- Neues Advisory
- Version 2 (2020-01-13 12:13)
- Mit dem Sicherheitsupdate 6.2.2 wurden auch die Schwachstellen CVE-2020-5310 und CVE-2020-5311 behoben, die daher in dieses ADV mit aufgenommen wurden. Sie ermöglichen einem entfernten, nicht authentisierten Angreifer möglicherweise das Ausführen beliebigen Programmcodes. Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'python3-pillow-6.2.2-1.el7' im Status 'testing' bereit, um die Schwachstellen zu schließen.
- Version 3 (2020-01-20 12:15)
- Für Fedora 31 steht ein Sicherheitsupdate in Form des Pakets 'python-pillow-6.2.2-1.fc31' im Status 'testing' bereit, um die Schwachstellen CVE-2020-5310, CVE-2020-5311, CVE-2020-5312 und CVE-2020-5313 zu schließen.
- Version 4 (2020-02-05 11:22)
- Für Fedora 31 Flatpaks stehen Sicherheitsupdates für 'hydrapaper' und 'quearcode' im Status 'testing' bereit, mit denen das enthaltene 'python-pillow' auf Version 6.2.2 aktualisiert wird.
- Version 5 (2020-02-14 11:26)
- Für Fedora 30 steht ein Sicherheitsupdate für Python Pillow in Form des Paketes 'python-pillow-5.4.1-4.fc30' im Status 'testing' zur Behebung der referenzierten Schwachstellen bereit.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstelle in Python Pillow ermöglichen einem entfernten, nicht authentisierten Angreifer möglicherweise das Ausführen beliebigen Programmcodes und das Durchführen eines Denial-of-Service (DoS)-Angriffs.
Der Hersteller bietet die Version 6.2.2 als Sicherheitsupdate an, um die Schwachstellen zu schließen.
Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate in Version 2.6.1-2+deb8u4 zur Behebung der Schwachstelle in 'pillow' bereit.
Schwachstellen:
CVE-2019-19911
Schwachstelle in Python Pillow ermöglicht Denial-of-Service-AngriffCVE-2020-5310
Schwachstelle in Python Pillow ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-5311
Schwachstelle in Python Pillow ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-5312
Schwachstelle in Python Pillow ermöglicht Ausführung beliebigen ProgrammcodesCVE-2020-5313
Schwachstelle in Python Pillow ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.