Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-00758: Уязвимость функции resetAccumulator из src/select.c системы управления базами данных SQLite, позволяющая нарушителю вызвать отказ в обслуживании

Описание уязвимости	Уязвимость функции resetAccumulator из src/select.c системы управления базами данных SQLite связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, вызвать отказ в обслуживании
Вендор	Oracle Corp., ООО «РусБИТех-Астра», Сообщество свободного программного обеспечения, Canonical Ltd., Hipp, Wyrick & Company, Inc., АО "НППКТ"
Наименование ПО	Outside In Technology, Astra Linux Special Edition (запись в едином реестре российских программ №369), Debian GNU/Linux, Astra Linux Common Edition (запись в едином реестре российских программ №4433), Ubuntu, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), SQLite, Enterprise Manager Ops Center, Communications Network Charging and Control, Sun ZFS Storage Appliance Kit, MySQL Workbench, Hyperion Infrastructure Technology, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО	8.5.4 (Outside In Technology) 1.6 «Смоленск» (Astra Linux Special Edition) 8.0 (Debian GNU/Linux) 9.0 (Debian GNU/Linux) 2.12 «Орёл» (Astra Linux Common Edition) 10.0 (Debian GNU/Linux) 19.10 (Ubuntu) 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус») до 3.31.1 включительно (SQLite) 20.04 LTS (Ubuntu) 8.5.5 (Outside In Technology) 12.4.0.0 (Enterprise Manager Ops Center) 6.0.1 (Communications Network Charging and Control) от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control) 8.8 (Sun ZFS Storage Appliance Kit) до 8.0.22 включительно (MySQL Workbench) 11.1.2.4 (Hyperion Infrastructure Technology) 1.7 (Astra Linux Special Edition) 4.7 (Astra Linux Special Edition) до 2.5 (ОСОН ОСнова Оnyx)
Тип ПО	Прикладное ПО информационных систем, Операционная система, СУБД, Сетевое программное средство, ПО программно-аппаратного средства
Операционные системы и аппаратные платформы	ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» (запись в едином реестре российских программ №369) Сообщество свободного программного обеспечения Debian GNU/Linux 8.0 Сообщество свободного программного обеспечения Debian GNU/Linux 9.0 ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл» (запись в едином реестре российских программ №4433) Сообщество свободного программного обеспечения Debian GNU/Linux 10.0 Canonical Ltd. Ubuntu 19.10 ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград» (запись в едином реестре российских программ №11156) Canonical Ltd. Ubuntu 20.04 LTS ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369) ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 ARM (запись в едином реестре российских программ №369) АО "НППКТ" ОСОН ОСнова Оnyx до 2.5 (запись в едином реестре российских программ №5913)
Тип ошибки	Недостаточная проверка вводимых данных, Неверная инициализация
Идентификатор типа ошибки	CWE-20 CWE-665
Класс уязвимости	Уязвимость кода
Дата выявления	09.04.2020
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для SQLite: https://www3.sqlite.org/cgi/src/info/4a302b42c7bf5e11 https://www3.sqlite.org/cgi/src/tktview?name=af4556bb5c Для программных продуктов Oracle: https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html Для Ubuntu: https://usn.ubuntu.com/4394-1/ Для Debian: https://lists.debian.org/debian-lts-announce/2020/05/msg00006.html https://lists.debian.org/debian-lts-announce/2020/08/msg00037.html Для Astra Linux: Обновление программного обеспечения (пакета sqlite3) до актуальной версии Использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16 https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 Для ОСОН Основа: Обновление программного обеспечения sqlite3 до версии 3.36.0-2osnova0
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://lists.debian.org/debian-lts-announce/2020/05/msg00006.html https://lists.debian.org/debian-lts-announce/2020/08/msg00037.html https://nvd.nist.gov/vuln/detail/CVE-2020-11655 https://security-tracker.debian.org/tracker/CVE-2020-11655 https://usn.ubuntu.com/4394-1/ https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16 https://www.oracle.com/security-alerts/cpujan2021.html https://www.oracle.com/security-alerts/cpujul2020.html https://www.oracle.com/security-alerts/cpuoct2020.html https://www3.sqlite.org/cgi/src/info/4a302b42c7bf5e11 https://www3.sqlite.org/cgi/src/tktview?name=af4556bb5c https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81 https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17 https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47 https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-11655 GLSA: GLSA-202007-26
Прочая информация	Данные уточняются

Последние изменения