2021-0111: Python Pillow: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-01-18 14:06)
- Neues Advisory
- Version 2 (2021-01-19 09:10)
- Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'pillow' bereit, um die Schwachstellen zu beheben.
- Version 3 (2021-01-20 18:07)
- Canonical stellt für Ubuntu 14.04 ESM ein korrespondierendes Sicherheitsupdate bereit, mit dem die Schwachstelle CVE-2020-35653 behoben wird. Zusätzlich wird hierbei die Denial-of-Service (DoS)-Schwachstelle CVE-2020-10177 adressiert. Die anderen Schwachstellen betreffen Ubuntu 14.04 ESM nicht.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, möglicherweise Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'python-pillow-7.0.0-5.fc32', 'python-pillow-7.2.0-3.fc33' und 'mingw-python-pillow-7.2.0-3.fc33' im Status 'testing' zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2020-35653
Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-AngriffCVE-2020-35654
Schwachstelle in Python Pillow ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-35655
Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.