Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2023-02447

CVSS: 7.5
14.11.2022

Уязвимость библиотеки для работы с изображениями Pillow, связанная с ошибкой управления ресурсами, позволяющая нарушителю выполнить атаку типа "отказ в обслуживании"

Уязвимость библиотеки для работы с изображениями Pillow связана с неправильным управлением внутренними ресурсами при работе с сильно сжатыми данными GIF. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «отказ в обслуживании» с помощью специально созданного GIF-файла
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 14.11.2022
Класс уязвимости: Уязвимость кода
Наличие эксплойта: Данные уточняются
Способ эксплуатации: Манипулирование ресурсами
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций:
Для РедОС:
https://redos.red-soft.ru/support/secure/

Для Pillow
https://github.com/python-pillow/Pillow/releases/tag/9.2.0

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0727SE47

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОСОН ОСнова Оnyx (версия 2.10):
Обновление программного обеспечения pillow до версии 5.4.1-2+deb10u4.osnova1

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-399 Уязвимости, связанные с управлением ресурсами

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности
Идентификатор Описание
CVE-2022-45198 Pillow before 9.2.0 performs Improper Handling of Highly Compressed GIF Data (Data Amplification).

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250730-16 30.07.2025 Отказ в обслуживании в Schneider Electric EcoStruxure Power Operation

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
7.8 HIGH 2.0 AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5 HIGH 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2022-45198
Вендор:
  • ООО «Ред Софт»
  • ООО «РусБИТех-Астра»
  • Uploadcare, LLC
  • АО «ИВК»
  • АО "НППКТ"
Тип ПО:
  • Операционная система
  • Прикладное ПО информационных систем
Наименование ПО:
  • РЕД ОС
  • Astra Linux Special Edition
  • Pillow
  • АЛЬТ СП 10
  • ОСОН ОСнова Оnyx
Версия ПО:
  • 7.3 (РЕД ОС)
  • 4.7 (Astra Linux Special Edition)
  • до 9.2.0 (Pillow)
  • - (АЛЬТ СП 10)
  • до 2.10 (ОСОН ОСнова Оnyx)
ОС и аппаратные платформы:
  • РЕД ОС (7.3)
  • Astra Linux Special Edition (4.7)
  • АЛЬТ СП 10 (-)
  • ОСОН ОСнова Оnyx (до 2.10)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.