Описание
Уязвимость функции rtreenode() системы управления базами данных SQLite связана с выходом операции чтения за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, выполнить произвольный код или раскрыть защищаемую информацию
Вендор
Sun
ООО «РусБИТех-Астра»
Canonical Ltd.
Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
Red Hat Inc.
Hipp Wyrick Company Inc
АО "НППКТ"
АО «НТЦ ИТ РОСА»
Наименование ПО
solaris
Astra Linux Special Edition
Ubuntu
Debian GNU/Linux
OpenSUSE Leap
Suse Linux Enterprise Desktop
SUSE Enterprise Storage
SUSE Linux Enterprise Server for SAP Applications
SUSE Linux Enterprise Software Development Kit
SUSE OpenStack Cloud
Suse Linux Enterprise Server
Fedora
Red Hat Enterprise Linux
SUSE CaaS Platform
SUSE Linux Enterprise Point of Sale
OpenStack Cloud Magnum Orchestration
Astra Linux Special Edition для «Эльбрус»
SQLite
ОСОН ОСнова Оnyx
ROSA Virtualization 3.0
Версия ПО
10 (solaris)
1.5 «Смоленск» (Astra Linux Special Edition)
16.04 LTS (Ubuntu)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
1.6 «Смоленск» (Astra Linux Special Edition)
12 SP3 (Suse Linux Enterprise Desktop)
12 SP4 (Suse Linux Enterprise Desktop)
4 (SUSE Enterprise Storage)
12 SP2 (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-BCL (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-ESPOS (SUSE Linux Enterprise Server for SAP Applications)
12 SP2-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (SUSE Linux Enterprise Software Development Kit)
12 SP4 (SUSE Linux Enterprise Software Development Kit)
7 (SUSE OpenStack Cloud)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
29 (Fedora)
19.04 (Ubuntu)
8 (Red Hat Enterprise Linux)
15.0 (OpenSUSE Leap)
3.0 (SUSE CaaS Platform)
12 SP2-CLIENT (SUSE Linux Enterprise Point of Sale)
12 SP2-BCL (Suse Linux Enterprise Server)
12 SP2-ESPOS (Suse Linux Enterprise Server)
11 SP3 (SUSE Linux Enterprise Point of Sale)
12-LTSS (Suse Linux Enterprise Server)
12 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP1-LTSS (SUSE Linux Enterprise Server for SAP Applications)
12-LTSS (SUSE Linux Enterprise Server for SAP Applications)
11 SP4-LTSS (Suse Linux Enterprise Server)
12 SP1-LTSS (Suse Linux Enterprise Server)
12 SP2-LTSS (Suse Linux Enterprise Server)
11 SP4-LTSS (SUSE Linux Enterprise Server for SAP Applications)
30 (Fedora)
8 (Debian GNU/Linux)
7 (OpenStack Cloud Magnum Orchestration)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
от 3.6.0 до 3.27.2 включительно (SQLite)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.5.1 (ОСОН ОСнова Оnyx)
3.0 (ROSA Virtualization 3.0)
Тип ПО
Операционная система
Прикладное ПО информационных систем
СУБД
Операционные системы и аппаратные платформы
Sun solaris 10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.5 «Смоленск»
Canonical Ltd. Ubuntu 16.04 LTS
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Novell Inc. Suse Linux Enterprise Desktop 12 SP3
Novell Inc. Suse Linux Enterprise Desktop 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-BCL
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-ESPOS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Fedora Project Fedora 29
Canonical Ltd. Ubuntu 19.04
Red Hat Inc. Red Hat Enterprise Linux 8
Novell Inc. OpenSUSE Leap 15.0
Novell Inc. Suse Linux Enterprise Server 12 SP2-BCL
Novell Inc. Suse Linux Enterprise Server 12 SP2-ESPOS
Novell Inc. Suse Linux Enterprise Server 12-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP1-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12-LTSS
Novell Inc. Suse Linux Enterprise Server 11 SP4-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP1-LTSS
Novell Inc. Suse Linux Enterprise Server 12 SP2-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 11 SP4-LTSS
Fedora Project Fedora 30
Сообщество свободного программного обеспечения Debian GNU/Linux 8
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5.1
АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций производителя:
Для SQLite:
https://www.sqlite.org/src/info/90acdbfce9c08858
Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-8457.html?_ga=2.40035618.1403968951.1571901148-952870360.1571656134
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-8457/
Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-8457
Для Astra Linux:
Обновление программного обеспечения (пакета sqlite3) до 3.16.2-5+deb9u1 или более поздней версии
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-8457
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SJPFGA45DI4F5MCF2OAACGH3HQOF4G3M/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OPKYSWCOM3CL66RI76TYVIG6TJ263RXH/
Для ОСОН Основа:
Обновление программного обеспечения db5.3 до версии 5.3.28+dfsg1-0.10
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Для ОС Astra Linux Special Edition 1.7:
обновить пакет db5.3 до 5.3.28+dfsg1-0.9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2718
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 96%
0.2714
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
ubuntu
больше 6 лет назад
SQLite3 from 3.6.0 to and including 3.27.2 is vulnerable to heap out-of-bound read in the rtreenode() function when handling invalid rtree tables.
CVSS3: 7.5
redhat
почти 7 лет назад
SQLite3 from 3.6.0 to and including 3.27.2 is vulnerable to heap out-of-bound read in the rtreenode() function when handling invalid rtree tables.
CVSS3: 9.8
nvd
больше 6 лет назад
SQLite3 from 3.6.0 to and including 3.27.2 is vulnerable to heap out-of-bound read in the rtreenode() function when handling invalid rtree tables.
CVSS3: 9.8
debian
больше 6 лет назад
SQLite3 from 3.6.0 to and including 3.27.2 is vulnerable to heap out-o ...
EPSS
Процентиль: 96%
0.2714
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2