ГлавнаяБаза уязвимостей БДУ → BDU:2022-06495
10критическая

BDU:2022-06495 (CVE-2022-35737)

Уязвимость API-библиотеки системы управления базами данных SQLite, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код
Опубликовано: 2022-10-28
Описание

Уязвимость API-библиотеки системы управления базами данных SQLite связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код в ходе обработки длинной последовательности строковых данных, обрабатываемых функцией printf со строкой форматирования, включающей типы %Q, %q или %w

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Debian GNU/Linux (10)openSUSE TumbleweedOpenSUSE Leap (15.3)Debian GNU/Linux (11)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)openSUSE Leap Micro (5.2)Astra Linux Special Edition (4.7)SQLite (от 1.0.12 до 3.39.2)Communications Convergent Charging Controller (6.0.1.0.0)Communications Convergent Charging Controller (от 12.0.1.0.0 до 12.0.5.0.0 включительно)Communications Network Charging and Control (6.0.1.0.0)Communications Network Charging and Control (от 12.0.1.0.0 до 12.0.5.0.0 включительно)MySQL Workbench (до 8.0.30 включительно)ОСОН ОСнова Оnyx (до 2.7)Kramer VIA (4.0.1.1328)АЛЬТ СП 10ОС Аврора (до 5.1.4 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- ограничение возможности загрузки входных данных размером более 1 Гб.

Использование рекомендаций производителя:
Для SQLite:
https://www.sqlite.org/cves.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35737

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35737.html

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-sqlite-cve-2022-35737/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2022.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16

Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения sqlite3 до версии 3.40.1-1

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Компенсирующие меры для Kramer VIA:
- использование антивирусных средств защиты;
- мониторинг действий пользователей;
- запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
- применение систем обнаружения и предотвращения вторжений.

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства:https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Аврора: https://cve.omp.ru/bb27514

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.sqlite.org/cves.htmlhttps://security-tracker.debian.org/tracker/CVE-2022-35737https://www.suse.com/security/cve/CVE-2022-35737.htmlhttps://www.oracle.com/security-alerts/cpuoct2022.htmlhttps://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MDhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Проверьте безопасность своего сайта и почты → Полная проверка домена