BDU:2020-02114: Уязвимость реализации инструкции ALTER TABLE системы управления базами данных SQLite, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Описание уязвимости Уязвимость реализации инструкции ALTER TABLE системы управления базами данных SQLite связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Вендор Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Novell Inc., Hipp, Wyrick & Company, Inc., Cisco Systems Inc., АО "НППКТ"
Наименование ПО Outside In Technology, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, SUSE Linux Enterprise Module for Basesystem, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), SUSE Linux Enterprise High Performance Computing, Suse Linux Enterprise Server, SQLite, Enterprise Manager Ops Center, Communications Network Charging and Control, Sun ZFS Storage Appliance Kit, Hyperion Infrastructure Technology, MySQL Workbench, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 8.5.4 (Outside In Technology)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 15 GA (SUSE Linux Enterprise Module for Basesystem)
  • 2.12 «Орёл» (Astra Linux Common Edition)
  • 15 SP1 (SUSE Linux Enterprise Module for Basesystem)
  • 10.0 (Debian GNU/Linux)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • ESPOS 15 GA (SUSE Linux Enterprise High Performance Computing)
  • LTSS 15 GA (SUSE Linux Enterprise High Performance Computing)
  • 15 GA LTSS (Suse Linux Enterprise Server)
  • до 3.31.1 включительно (SQLite)
  • 15 SP2 (SUSE Linux Enterprise Module for Basesystem)
  • 8.5.5 (Outside In Technology)
  • 12.4.0.0 (Enterprise Manager Ops Center)
  • 6.0.1 (Communications Network Charging and Control)
  • от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
  • 8.8 (Sun ZFS Storage Appliance Kit)
  • 11.1.2.4 (Hyperion Infrastructure Technology)
  • до 8.0.22 включительно (MySQL Workbench)
  • 4.7 (Astra Linux Special Edition)
  • до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО Прикладное ПО информационных систем, Операционная система, СУБД, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы
Тип ошибки Использование после освобождения
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 09.04.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для SQLite:
https://www.sqlite.org/src/info/d09f8c3621d5f7f8
https://www3.sqlite.org/cgi/src/info/b64674919f673602

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-11656/

Для Astra Linux:
Обновление программного обеспечения (пакета sqlite3) до 3.16.2-5+deb9u2 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения sqlite3 до версии 3.36.0-2osnova0

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения