Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02114

Опубликовано: 09 апр. 2020
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость реализации инструкции ALTER TABLE системы управления базами данных SQLite связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
ООО «РусБИТех-Астра»
Novell Inc.
Hipp Wyrick Company Inc
Cisco Systems Inc.
АО "НППКТ"
Kramer Electronics Ltd.

Наименование ПО

Debian GNU/Linux
Outside In Technology
Astra Linux Special Edition
SUSE Linux Enterprise Module for Basesystem
Astra Linux Common Edition
Astra Linux Special Edition для «Эльбрус»
SUSE Linux Enterprise High Performance Computing
Suse Linux Enterprise Server
SQLite
Enterprise Manager Ops Center
Communications Network Charging and Control
Sun ZFS Storage Appliance Kit
Hyperion Infrastructure Technology
MySQL Workbench
ОСОН ОСнова Оnyx
Kramer VIA

Версия ПО

9 (Debian GNU/Linux)
8.5.4 (Outside In Technology)
1.6 «Смоленск» (Astra Linux Special Edition)
15 GA (SUSE Linux Enterprise Module for Basesystem)
2.12 «Орёл» (Astra Linux Common Edition)
15 SP1 (SUSE Linux Enterprise Module for Basesystem)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
ESPOS 15 GA (SUSE Linux Enterprise High Performance Computing)
LTSS 15 GA (SUSE Linux Enterprise High Performance Computing)
15 GA LTSS (Suse Linux Enterprise Server)
до 3.31.1 включительно (SQLite)
15 SP2 (SUSE Linux Enterprise Module for Basesystem)
8.5.5 (Outside In Technology)
12.4.0.0 (Enterprise Manager Ops Center)
6.0.1 (Communications Network Charging and Control)
от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
8.8 (Sun ZFS Storage Appliance Kit)
11.1.2.4 (Hyperion Infrastructure Technology)
до 8.0.22 включительно (MySQL Workbench)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.5 (ОСОН ОСнова Оnyx)
4.0.1.1328 (Kramer VIA)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»
Novell Inc. Suse Linux Enterprise Server 15 GA LTSS
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для SQLite:
https://www.sqlite.org/src/info/d09f8c3621d5f7f8
https://www3.sqlite.org/cgi/src/info/b64674919f673602
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-11656/
Для Astra Linux:
Обновление программного обеспечения (пакета sqlite3) до 3.16.2-5+deb9u2 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
Для ОСОН Основа:
Обновление программного обеспечения sqlite3 до версии 3.36.0-2osnova0
Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Для ОС Astra Linux Special Edition 1.7:
обновить пакет sqlite3 до 3.34.1-3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.0847
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-11656

CVSS3: 9.8
ubuntu
почти 6 лет назад

In SQLite through 3.31.1, the ALTER TABLE implementation has a use-after-free, as demonstrated by an ORDER BY clause that belongs to a compound SELECT statement.

redhat логотип

CVE-2020-11656

CVSS3: 8.8
redhat
почти 6 лет назад

In SQLite through 3.31.1, the ALTER TABLE implementation has a use-after-free, as demonstrated by an ORDER BY clause that belongs to a compound SELECT statement.

nvd логотип

CVE-2020-11656

CVSS3: 9.8
nvd
почти 6 лет назад

In SQLite through 3.31.1, the ALTER TABLE implementation has a use-after-free, as demonstrated by an ORDER BY clause that belongs to a compound SELECT statement.

msrc логотип

CVE-2020-11656

CVSS3: 9.8
msrc
больше 1 года назад

Описание отсутствует

debian логотип

CVE-2020-11656

CVSS3: 9.8
debian
почти 6 лет назад

In SQLite through 3.31.1, the ALTER TABLE implementation has a use-aft ...

EPSS

Процентиль: 92%
0.0847
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2