ГлавнаяБаза уязвимостей БДУ → BDU:2020-02114
10критическая

BDU:2020-02114 (CVE-2020-11656)

Уязвимость реализации инструкции ALTER TABLE системы управления базами данных SQLite, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2020-05-15
Описание

Уязвимость реализации инструкции ALTER TABLE системы управления базами данных SQLite связана с использованием памяти после её освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Outside In Technology (8.5.4)Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Module for Basesystem (15 GA)Astra Linux Common Edition (2.12 «Орёл»)SUSE Linux Enterprise Module for Basesystem (15 SP1)Debian GNU/Linux (8)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)SUSE Linux Enterprise High Performance Computing (ESPOS 15 GA)SUSE Linux Enterprise High Performance Computing (LTSS 15 GA)Suse Linux Enterprise Server (15 GA LTSS)SQLite (до 3.31.1 включительно)SUSE Linux Enterprise Module for Basesystem (15 SP2)Outside In Technology (8.5.5)Enterprise Manager Ops Center (12.4.0.0)Communications Network Charging and Control (6.0.1)Communications Network Charging and Control (от 12.0.0 до 12.0.3 включительно)Sun ZFS Storage Appliance Kit (8.8)Hyperion Infrastructure Technology (11.1.2.4)MySQL Workbench (до 8.0.22 включительно)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.5)Kramer VIA (4.0.1.1328)
Способ устранения

Использование рекомендаций:
Для SQLite:
https://www.sqlite.org/src/info/d09f8c3621d5f7f8
https://www3.sqlite.org/cgi/src/info/b64674919f673602

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpuoct2020.html

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-11656/

Для Astra Linux:
Обновление программного обеспечения (пакета sqlite3) до 3.16.2-5+deb9u2 или более поздней версии
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81

Для ОСОН Основа:
Обновление программного обеспечения sqlite3 до версии 3.36.0-2osnova0

Для Astra Linux Special Edition 4.7 (для архитектуры ARM):
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0926SE47

Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Для ОС Astra Linux Special Edition 1.7:
обновить пакет sqlite3 до 3.34.1-3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-0819SE17

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://cxsecurity.com/cveshow/CVE-2020-11656/https://nvd.nist.gov/vuln/detail/CVE-2020-11656https://security-tracker.debian.org/tracker/CVE-2020-11656https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://www.sqlite.org/src/info/d09f8c3621d5f7f8
Проверьте безопасность своего сайта и почты → Полная проверка домена