Описание
Уязвимость API-библиотеки системы управления базами данных SQLite связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код в ходе обработки длинной последовательности строковых данных, обрабатываемых функцией printf со строкой форматирования, включающей типы %Q, %q или %w
Вендор
ООО «РусБИТех-Астра»
Сообщество свободного программного обеспечения
Novell Inc.
ООО «Ред Софт»
Hipp, Wyrick & Company, Inc.
Oracle Corp.
АО "НППКТ"
Kramer Electronics Ltd.
Наименование ПО
Astra Linux Special Edition
Debian GNU/Linux
openSUSE Tumbleweed
OpenSUSE Leap
РЕД ОС
openSUSE Leap Micro
SQLite
Communications Convergent Charging Controller
Communications Network Charging and Control
MySQL Workbench
ОСОН ОСнова Оnyx
Kramer VIA
Версия ПО
1.6 «Смоленск» (Astra Linux Special Edition)
10 (Debian GNU/Linux)
- (openSUSE Tumbleweed)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
15.4 (OpenSUSE Leap)
5.2 (openSUSE Leap Micro)
4.7 (Astra Linux Special Edition)
от 1.0.12 до 3.39.2 (SQLite)
6.0.1.0.0 (Communications Convergent Charging Controller)
от 12.0.1.0.0 до 12.0.5.0.0 включительно (Communications Convergent Charging Controller)
6.0.1.0.0 (Communications Network Charging and Control)
от 12.0.1.0.0 до 12.0.5.0.0 включительно (Communications Network Charging and Control)
до 8.0.30 включительно (MySQL Workbench)
до 2.7 (ОСОН ОСнова Оnyx)
4.0.1.1328 (Kramer VIA)
Тип ПО
Операционная система
СУБД
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. openSUSE Tumbleweed -
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. openSUSE Leap Micro 5.2
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.7
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- ограничение возможности загрузки входных данных размером более 1 Гб.
Использование рекомендаций производителя:
Для SQLite:
https://www.sqlite.org/cves.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35737
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35737.html
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-sqlite-cve-2022-35737/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2022.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения sqlite3 до версии 3.40.1-1
Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 98%
0.65609
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 7.5
ubuntu
почти 3 года назад
SQLite 1.0.12 through 3.39.x before 3.39.2 sometimes allows an array-bounds overflow if billions of bytes are used in a string argument to a C API.
CVSS3: 5.9
redhat
почти 3 года назад
SQLite 1.0.12 through 3.39.x before 3.39.2 sometimes allows an array-bounds overflow if billions of bytes are used in a string argument to a C API.
CVSS3: 7.5
nvd
почти 3 года назад
SQLite 1.0.12 through 3.39.x before 3.39.2 sometimes allows an array-bounds overflow if billions of bytes are used in a string argument to a C API.
EPSS
Процентиль: 98%
0.65609
Средний
9.8 Critical
CVSS3
10 Critical
CVSS2