Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-03779

Опубликовано: 20 мар. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость функции fts5HashEntrySort в sqlite3.c системы управления базами данных SQLite связана с выходом операции чтения за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Вендор

Canonical Ltd.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Novell Inc.
Fedora Project
Red Hat Inc.
Hipp Wyrick Company Inc
Oracle Corp.
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
Debian GNU/Linux
Astra Linux Special Edition
SUSE Linux Enterprise Module for Open Buildservice Development Tools
Fedora
Red Hat Enterprise Linux
SUSE Linux Enterprise Module for Basesystem
OpenSUSE Leap
SQLite
Astra Linux Special Edition для «Эльбрус»
Java SE
Oracle Communications Unified Inventory Management
Oracle Communications Design Studio
MySQL Workbench
MySQL Cluster
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
15 (SUSE Linux Enterprise Module for Open Buildservice Development Tools)
29 (Fedora)
8 (Red Hat Enterprise Linux)
15 (SUSE Linux Enterprise Module for Basesystem)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
15.0 (OpenSUSE Leap)
30 (Fedora)
8 (Debian GNU/Linux)
до 3.27.2 включительно (SQLite)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
8u231 (Java SE)
7.3 (Oracle Communications Unified Inventory Management)
7.4 (Oracle Communications Unified Inventory Management)
7.3.4.3.0 (Oracle Communications Design Studio)
7.3.5.5.0 (Oracle Communications Design Studio)
7.4.0.4.0 (Oracle Communications Design Studio)
до 8.0.18 включительно (MySQL Workbench)
от 7.3.0 до 7.3.27 включительно (MySQL Cluster)
от 7.4.0 до 7.4.25 включительно (MySQL Cluster)
от 7.5.0 до 7.5.15 включительно (MySQL Cluster)
от 7.6.0 до 7.6.12 включительно (MySQL Cluster)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Fedora Project Fedora 29
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для SQLite:
https://sqlite.org/src/info/b3fa58dd7403dbd4
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-9936.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-9936/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2019-9936
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2020.html
https://www.oracle.com/security-alerts/cpuoct2019.html
Для Astra Linux:
https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/EXD2GYJVTDGEQPUNMMMC5TB7MQXOBBMO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/N66U5PY5UJU4XBFZJH7QNKIDNAVIB4OP/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2019-9936
Для ОС ОН «Стрелец»:
Обновление программного обеспечения sqlite3 до версии 3.16.2-5+deb9u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 89%
0.04543
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2019-9936

CVSS3: 7.5
ubuntu
почти 7 лет назад

In SQLite 3.27.2, running fts5 prefix queries inside a transaction could trigger a heap-based buffer over-read in fts5HashEntrySort in sqlite3.c, which may lead to an information leak. This is related to ext/fts5/fts5_hash.c.

redhat логотип

CVE-2019-9936

CVSS3: 3.3
redhat
почти 7 лет назад

In SQLite 3.27.2, running fts5 prefix queries inside a transaction could trigger a heap-based buffer over-read in fts5HashEntrySort in sqlite3.c, which may lead to an information leak. This is related to ext/fts5/fts5_hash.c.

nvd логотип

CVE-2019-9936

CVSS3: 7.5
nvd
почти 7 лет назад

In SQLite 3.27.2, running fts5 prefix queries inside a transaction could trigger a heap-based buffer over-read in fts5HashEntrySort in sqlite3.c, which may lead to an information leak. This is related to ext/fts5/fts5_hash.c.

debian логотип

CVE-2019-9936

CVSS3: 7.5
debian
почти 7 лет назад

In SQLite 3.27.2, running fts5 prefix queries inside a transaction cou ...

github логотип

GHSA-pr9h-5886-9mvw

CVSS3: 7.5
github
больше 3 лет назад

In SQLite 3.27.2, running fts5 prefix queries inside a transaction could trigger a heap-based buffer over-read in fts5HashEntrySort in sqlite3.c, which may lead to an information leak. This is related to ext/fts5/fts5_hash.c.

EPSS

Процентиль: 89%
0.04543
Низкий

7.5 High

CVSS3

7.8 High

CVSS2