ГлавнаяБаза уязвимостей БДУ → BDU:2019-03785
10критическая

BDU:2019-03785 (CVE-2019-8457)

Уязвимость функции rtreenode() системы управления базами данных SQLite, позволяющая нарушителю вызвать отказ в обслуживании, выполнить произвольный код или раскрыть защищаемую информацию
Опубликовано: 2019-10-29
Описание

Уязвимость функции rtreenode() системы управления базами данных SQLite связана с выходом операции чтения за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании, выполнить произвольный код или раскрыть защищаемую информацию

Затрагиваемое ПО и версии
solaris (10)Astra Linux Special Edition (1.5 «Смоленск»)Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Ubuntu (18.10)Astra Linux Special Edition (1.6 «Смоленск»)Suse Linux Enterprise Desktop (12 SP3)Suse Linux Enterprise Desktop (12 SP4)SUSE Enterprise Storage (4)SUSE Linux Enterprise Server for SAP Applications (12 SP2)SUSE Linux Enterprise Server for SAP Applications (12 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (12 SP2-ESPOS)SUSE Linux Enterprise Server for SAP Applications (12 SP2-LTSS)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)SUSE Linux Enterprise Software Development Kit (12 SP3)SUSE Linux Enterprise Software Development Kit (12 SP4)SUSE OpenStack Cloud (7)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Fedora (29)Ubuntu (19.04)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.0)SUSE CaaS Platform (3.0)SUSE Linux Enterprise Point of Sale (12 SP2-CLIENT)Suse Linux Enterprise Server (12 SP2-BCL)Suse Linux Enterprise Server (12 SP2-ESPOS)
Способ устранения

Использование рекомендаций производителя:
Для SQLite:
https://www.sqlite.org/src/info/90acdbfce9c08858

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-8457.html?_ga=2.40035618.1403968951.1571901148-952870360.1571656134

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-8457/

Для Red Hat Enterprise Linux:
https://access.redhat.com/security/cve/cve-2019-8457

Для Astra Linux:
Обновление программного обеспечения (пакета sqlite3) до 3.16.2-5+deb9u1 или более поздней версии

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-8457

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/SJPFGA45DI4F5MCF2OAACGH3HQOF4G3M/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OPKYSWCOM3CL66RI76TYVIG6TJ263RXH/

Для ОСОН Основа:
Обновление программного обеспечения db5.3 до версии 5.3.28+dfsg1-0.10

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Для ОС Astra Linux Special Edition 1.7:
обновить пакет db5.3 до 5.3.28+dfsg1-0.9 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2718

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2019-8457https://www.sqlite.org/src/info/90acdbfce9c08858https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-8457.html?_ga=2.40035618.1403968951.1571901148-952870360.1571656134https://www.suse.com/security/cve/CVE-2019-8457/https://access.redhat.com/security/cve/cve-2019-8457https://wiki.astralinux.ru/pages/viewpage.action?pageId=71831011https://security-tracker.debian.org/tracker/CVE-2019-8457
Проверьте безопасность своего сайта и почты → Полная проверка домена