Уязвимость API-библиотеки системы управления базами данных SQLite связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код в ходе обработки длинной последовательности строковых данных, обрабатываемых функцией printf со строкой форматирования, включающей типы %Q, %q или %w
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- ограничение возможности загрузки входных данных размером более 1 Гб.
Использование рекомендаций производителя:
Для SQLite:
https://www.sqlite.org/cves.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35737
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35737.html
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-sqlite-cve-2022-35737/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2022.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения sqlite3 до версии 3.40.1-1
Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:https://altsp.su/obnovleniya-bezopasnosti/
Для ОС Аврора: https://cve.omp.ru/bb27514
| Балл | 10 — критическая опасность |