ГлавнаяБаза уязвимостей БДУ → BDU:2024-00480
7.5высокая

BDU:2024-00480 (CVE-2023-7104)

Уязвимость функции sessionReadRecord файла ext/session/sqlite3session.c системы управления базами данных SQLite, позволяющая нарушителю оказать влияние на конфиденциальность, целостность и доступность
Опубликовано: 2024-01-19
Описание

Уязвимость функции sessionReadRecord файла ext/session/sqlite3session.c системы управления базами данных SQLite связана с переполнением буфера в динамической памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать влияние на конфиденциальность, целостность и доступность

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Ubuntu (20.04 LTS)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Fedora (38)Fedora (39)Astra Linux Common Edition (1.6 «Смоленск»)Ubuntu (23.04)РОСА ХРОМ (12.4)АЛЬТ СП 10Ubuntu (23.10)SQLite (до 3.43.0 включительно)harbor (2.7.0)ОС Аврора (до 5.1.4 включительно)МСВСфера (9.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к интерфейсу СУБД из внешних сетей;
- использование средств межсетевого экранирования для ограничения возможности удалённого подключения к СУБД.

Использование рекомендаций производителя:
Для SQLite:
https://sqlite.org/src/info/0e4e7a05c4204b47
https://sqlite.org/forum/forumpost/5bcbf4571c

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-7104

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-7104

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Ubuntu:
https://ubuntu.com/security/notices/USN-6566-1

Для ОС Альт 8 СП (релиз 10): установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет sqlite3 до 3.34.1-3+ci202402082153+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет sqlite3 до 3.34.1-3+ci202402082153+astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2025-2667

Для ОС Аврора: https://cve.omp.ru/bb27514

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:0465?lang=ru

Для ОС Astra Linux:
обновить пакет sqlite3 до 3.36.0-astra3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.5 — высокая опасность
Источники и патчи
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/AYONA2XSNFMXLAW4IHLFI5UVV3QRNG5K/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/D6C2HN4T2S6GYNTAUXLH45LQZHK7QPHP/https://security.netapp.com/advisory/ntap-20240112-0008/https://sqlite.org/forum/forumpost/5bcbf4571chttps://sqlite.org/src/info/0e4e7a05c4204b47https://vuldb.com/?ctiid.248999https://vuldb.com/?id.248999https://security-tracker.debian.org/tracker/CVE-2023-7104
Проверьте безопасность своего сайта и почты → Полная проверка домена