2021-0479: Python Pillow: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-03-08 16:53): Neues Advisory
Version 2 (2021-03-10 10:41): Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'python3-pillow-6.2.2-2.el7' im Status 'testing' zur Behebung der Schwachstellen bereit.
Version 3 (2021-03-12 08:39): Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'pillow' bereit, um die Schwachstellen zu beheben; die CVE-2020-35654 wird dabei nicht referenziert.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen. Diese Schwachstellen erfordern die Interaktion eines Benutzers. Zudem kann ein Angreifer mehrere Schwachstellen aus der Ferne ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung aller Schwachstellen sind keine Privilegien erforderlich.

Für Fedora 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'python2-pillow-6.2.2-5.fc32', 'python-pillow-7.0.0-7.fc32', 'mingw-python-pillow-7.2.0-5.fc33', 'python2-pillow-6.2.2-5.fc33' und weiteren im Status 'testing' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2020-35654

Schwachstelle in Python Pillow ermöglicht Ausführen beliebigen Programmcodes