Уязвимость BDU:2022-04237

Идентификатор: BDU:2022-04237.

Наименование уязвимости: Уязвимость компонента libImaging/TgaRleDecode.c библиотеки для работы с изображениями Pillow, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации.

Описание уязвимости: Уязвимость компонента libImaging/TgaRleDecode.c библиотеки для работы с изображениями Pillow связана с записью за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность, доступность защищаемой информации
Уязвимое ПО: Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Прикладное ПО информационных систем Uploadcare, LLC Pillow до 9.1.1 | Операционная система АО «ИВК» АЛЬТ СП 10 — |

Наименование ОС и тип аппаратной платформы: РЕД ОС 73 | АЛЬТ СП 10 — |
Дата выявления: 25.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Pillow:
https://pillow.readthedocs.io/en/stable/releasenotes/9.1.1.html

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-30595.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/python-pillow/Pillow/blob/main/src/libImaging/TgaRleDecode.c
https://pillow.readthedocs.io/en/stable/releasenotes/9.1.1.html
https://redos.red-soft.ru/support/secure/
https://altsp.su/obnovleniya-bezopasnosti/