DFN-CERT

Advisory-Archiv

2022-0168: Python Pillow: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2022-01-24 11:02)
Neues Advisory
Version 2 (2022-01-25 17:07)
Für Debian 10 Buster (oldstable) steht die Version 5.4.1-2+deb10u3 und für Debian 11 Bullseye (stable) die Version 8.1.2+dfsg-0.3+deb11u1 von 'pillow' bereit, um die Schwachstellen zu beheben.
Version 3 (2022-01-28 11:14)
Fedora 34 und 35 stehen Backport-Sicherheitsupdates in Form der Pakete 'mingw-python-pillow-8.1.2-5.fc34', 'python-pillow-8.1.2-6.fc34', 'mingw-python-pillow-8.3.2-2.fc35', 'python-pillow-8.3.2-2.fc35' im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 4 (2022-02-23 09:14)
Für Red Hat Enterprise Linux 7 (Server, Workstation, Desktop, for Scientific Computing) sowie Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für 'python-pillow' bereit, um die Schwachstellen CVE-2022-22816 und CVE-2022-22817 zu beheben.
Version 5 (2022-02-23 09:40)
Für Red Hat Enterprise Linux 8 (x86_64, aarch64), Red Hat CodeReady Linux Builder 8 (x86_64, aarch64) sowie Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'python-pillow' zur Behebung der Schwachstellen CVE-2022-22816 und CVE-2022-22817 zur Verfügung.
Version 6 (2022-02-25 09:06)
Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 8.2 und 8.4 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - AUS / TUS 8.2 und 8.4 (x86_64) stehen Sicherheitsupdates für 'python-pillow' bereit, um die Schwachstellen CVE-2022-22816 und CVE-2022-22817 zu beheben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen und möglicherweise beliebigen Programmcode zur Ausführung zu bringen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'pillow' behoben werden.

Schwachstellen:

CVE-2022-22815

Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-Angriff

CVE-2022-22816

Schwachstelle in Python Pillow ermöglicht Denial-of-Service-Angriff

CVE-2022-22817

Schwachstelle in Python Pillow ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.