Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02558

Опубликовано: 03 апр. 2019
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Средний

Описание

Уязвимость модуля виртуальных таблиц FTS3 системы управления базами данных SQLite вызвана целочисленным переполнением. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Canonical Ltd.
Novell Inc.
Oracle Corp.
Apple Inc.
Hipp Wyrick Company Inc
АО «Концерн ВНИИНС»

Наименование ПО

Ubuntu
OpenSUSE Leap
Outside In Technology
iOS
watchOS
tvOS
iTunes for Windows
iCloud for Windows
SQLite
Mac OS
ОС ОН «Стрелец»

Версия ПО

16.04 LTS (Ubuntu)
42.3 (OpenSUSE Leap)
18.04 LTS (Ubuntu)
18.10 (Ubuntu)
8.5.4 (Outside In Technology)
до 12.1.3 (iOS)
до 5.1.3 (watchOS)
до 12.1.2 (tvOS)
12.04 ESM (Ubuntu)
19.04 (Ubuntu)
14.04 ESM (Ubuntu)
до 12.9.3 (iTunes for Windows)
до 7.10 (iCloud for Windows)
до 3.25.3 (SQLite)
до Mojave 10.14.3 (Mac OS)
до High Sierra 2019-001 (Mac OS)
до Sierra 2019-001 (Mac OS)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
СУБД

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS
Novell Inc. OpenSUSE Leap 42.3
Canonical Ltd. Ubuntu 18.04 LTS
Canonical Ltd. Ubuntu 18.10
Apple Inc. iOS до 12.1.3
Apple Inc. watchOS до 5.1.3
Apple Inc. tvOS до 12.1.2
Canonical Ltd. Ubuntu 12.04 ESM
Canonical Ltd. Ubuntu 19.04
Canonical Ltd. Ubuntu 14.04 ESM
Apple Inc. Mac OS до Mojave 10.14.3
Apple Inc. Mac OS до High Sierra 2019-001
Apple Inc. Mac OS до Sierra 2019-001
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для SQLite:
https://sqlite.org/src/info/940f2adc8541a838
Для программных продуктов Novell Inc.:
https://lists.opensuse.org/opensuse-security-announce/2019-04/msg00070.html
Для Ubuntu:
https://usn.ubuntu.com/4019-1/
https://usn.ubuntu.com/4019-2/
Для программных продуктов Apple:
https://support.apple.com/kb/HT209443
https://support.apple.com/kb/HT209446
https://support.apple.com/kb/HT209447
https://support.apple.com/kb/HT209448
https://support.apple.com/kb/HT209450
https://support.apple.com/kb/HT209451
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuapr2020.html
Для ОС ОН «Стрелец»:
Обновление программного обеспечения sqlite3 до версии 3.16.2-5+deb9u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.17974
Средний

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-20506

CVSS3: 8.1
ubuntu
больше 6 лет назад

SQLite before 3.25.3, when the FTS3 extension is enabled, encounters an integer overflow (and resultant buffer overflow) for FTS3 queries in a "merge" operation that occurs after crafted changes to FTS3 shadow tables, allowing remote attackers to execute arbitrary code by leveraging the ability to run arbitrary SQL statements (such as in certain WebSQL use cases). This is a different vulnerability than CVE-2018-20346.

redhat логотип

CVE-2018-20506

CVSS3: 7
redhat
больше 6 лет назад

SQLite before 3.25.3, when the FTS3 extension is enabled, encounters an integer overflow (and resultant buffer overflow) for FTS3 queries in a "merge" operation that occurs after crafted changes to FTS3 shadow tables, allowing remote attackers to execute arbitrary code by leveraging the ability to run arbitrary SQL statements (such as in certain WebSQL use cases). This is a different vulnerability than CVE-2018-20346.

nvd логотип

CVE-2018-20506

CVSS3: 8.1
nvd
больше 6 лет назад

SQLite before 3.25.3, when the FTS3 extension is enabled, encounters an integer overflow (and resultant buffer overflow) for FTS3 queries in a "merge" operation that occurs after crafted changes to FTS3 shadow tables, allowing remote attackers to execute arbitrary code by leveraging the ability to run arbitrary SQL statements (such as in certain WebSQL use cases). This is a different vulnerability than CVE-2018-20346.

msrc логотип

CVE-2018-20506

CVSS3: 8.1
msrc
около 1 года назад

Описание отсутствует

debian логотип

CVE-2018-20506

CVSS3: 8.1
debian
больше 6 лет назад

SQLite before 3.25.3, when the FTS3 extension is enabled, encounters a ...

EPSS

Процентиль: 95%
0.17974
Средний

8.1 High

CVSS3

7.6 High

CVSS2