ALT Linux Team

Branch sisyphus_riscv64 update on 2022-02-14

2022-02-14

ALT-BU-2022-4023-1

Branch sisyphus_riscv64 update bulletin.

ALT-PU-2022-4019-1

Package etcnet updated to version 0.9.22-alt1 for branch sisyphus_riscv64.

Closed bugs

Bug #39707

etcnet не может настроить vlan для интерфейса ovsbond

Bug #39708

[Open vSwitch] Реализация OVSPatchPort

Bug #39709

[Open vSwitch] Не подымается автоматом OVSBond

ALT-PU-2022-4020-1

Package python3-module-Pillow updated to version 9.0.1-alt1 for branch sisyphus_riscv64.

Closed vulnerabilities

Published: 2022-01-25

BDU:2022-00581

Уязвимость функции path_getbbox (path.c) библиотеки изображений Python Pillow, связанная с неверным ограничением пути к каталогу, позволяющая нарушителю получить доступ к произвольным файлам в системе

Severity: HIGH (7.5) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Severity: HIGH (7.8) Vector: AV:N/AC:L/Au:N/C:C/I:N/A:N
References:
Published: 2022-01-25

BDU:2022-00582

Уязвимость функции path_getbbox (path.c) библиотеки изображений Python Pillow, связанная с чтением за границами буфера, позволяющая нарушителю получить доступ к конфиденциальной информации

Severity: HIGH (7.5) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Severity: HIGH (7.8) Vector: AV:N/AC:L/Au:N/C:C/I:N/A:N
References:
Published: 2022-01-25

BDU:2022-00583

Уязвимость компонента PIL.ImageMath.eval библиотеки изображений Python Pillow, связанная с использованием опасных методов или функций, позволяющая нарушителю выполнить произвольный код

Severity: CRITICAL (9.8) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Severity: CRITICAL (10.0) Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C
References:
Published: 2022-02-09

BDU:2023-01714

Уязвимость библиотеки для работы с растровой графикой Pillow, связанная с чтением за допустимыми границами буфера данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании

Severity: CRITICAL (9.1) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Severity: CRITICAL (9.4) Vector: AV:N/AC:L/Au:N/C:N/I:C/A:C
References:
Published: 2022-01-10
Modified: 2024-11-21

CVE-2022-22815

path_getbbox in path.c in Pillow before 9.0.0 improperly initializes ImagePath.Path.

Severity: MEDIUM (6.4) Vector: AV:N/AC:L/Au:N/C:N/I:P/A:P
Severity: MEDIUM (6.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
References:
Published: 2022-01-10
Modified: 2024-11-21

CVE-2022-22816

path_getbbox in path.c in Pillow before 9.0.0 has a buffer over-read during initialization of ImagePath.Path.

Severity: MEDIUM (6.4) Vector: AV:N/AC:L/Au:N/C:N/I:P/A:P
Severity: MEDIUM (6.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
References:
Published: 2022-01-10
Modified: 2024-11-21

CVE-2022-22817

PIL.ImageMath.eval in Pillow before 9.0.0 allows evaluation of arbitrary expressions, such as ones that use the Python exec method. A lambda expression could also be used.

Severity: HIGH (7.5) Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P
Severity: CRITICAL (9.8) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
References:
Published: 2022-03-28
Modified: 2024-11-21

CVE-2022-24303

Pillow before 9.0.1 allows attackers to delete files because spaces in temporary pathnames are mishandled.

Severity: MEDIUM (6.4) Vector: AV:N/AC:L/Au:N/C:N/I:P/A:P
Severity: CRITICAL (9.1) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
References:

ALT-PU-2022-4021-1

Package zsh updated to version 5.8.1-alt1 for branch sisyphus_riscv64.

Closed vulnerabilities

Published: 2022-02-17

BDU:2022-01068

Уязвимость командной оболочки zsh, связанная с непринятием мер по нейтрализации специальных элементов, позволяющая нарушителю выполнить произвольные команды

Severity: HIGH (8.8) Vector: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Severity: CRITICAL (10.0) Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C
References:
Published: 2022-02-14
Modified: 2024-11-21

CVE-2021-45444

In zsh before 5.8.1, an attacker can achieve code execution if they control a command output inside the prompt, as demonstrated by a %F argument. This occurs because of recursive PROMPT_SUBST expansion.

Severity: MEDIUM (5.1) Vector: AV:N/AC:H/Au:N/C:P/I:P/A:P
Severity: HIGH (7.8) Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
References:

ALT-PU-2022-4022-1

Package golang updated to version 1.17.7-alt1 for branch sisyphus_riscv64.

Closed vulnerabilities

Published: 2022-01-20

BDU:2022-03899

Уязвимость реализации функции SetString() класса Rat пакета math/big языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Severity: HIGH (7.5) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Severity: HIGH (7.8) Vector: AV:N/AC:L/Au:N/C:N/I:N/A:C
References:
Published: 2022-02-11
Modified: 2024-11-21

CVE-2022-23772

Rat.SetString in math/big in Go before 1.16.14 and 1.17.x before 1.17.7 has an overflow that can lead to Uncontrolled Memory Consumption.

Severity: HIGH (7.8) Vector: AV:N/AC:L/Au:N/C:N/I:N/A:C
Severity: HIGH (7.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
References:
Published: 2022-02-11
Modified: 2024-11-21

CVE-2022-23773

cmd/go in Go before 1.16.14 and 1.17.x before 1.17.7 can misinterpret branch names that falsely appear to be version tags. This can lead to incorrect access control if an actor is supposed to be able to create branches but not tags.

Severity: MEDIUM (5.0) Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N
Severity: HIGH (7.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
References:
Published: 2022-02-11
Modified: 2024-11-21

CVE-2022-23806

Curve.IsOnCurve in crypto/elliptic in Go before 1.16.14 and 1.17.x before 1.17.7 can incorrectly return true in situations with a big.Int value that is not a valid field element.

Severity: MEDIUM (6.4) Vector: AV:N/AC:L/Au:N/C:N/I:P/A:P
Severity: CRITICAL (9.1) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
References:
VKontakte | Telegram | YouTube | Forum | GitHub | Bugzilla
Version: 2.1.2
Back to top