FERRAMENTAS LINUX: Atualização de segurança do Debian LTS para o sqlite3, aviso Debian LTS: DLA-2340-1

domingo, 23 de agosto de 2020

Atualização de segurança do Debian LTS para o sqlite3, aviso Debian LTS: DLA-2340-1


Confira !!



Várias vulnerabilidades foram descobertas em sqlite3, uma biblioteca C que implementa um mecanismo de banco de dados SQL. CVE-2018-8740
-------------------------------------------------- -----------------------
Debian LTS Advisory DLA-2340-1                 debian-lts@lists.debian.org
https://www.debian.org/lts/security/                                   
22 de agosto de 2020 https://wiki.debian.org/LTS
-------------------------------------------------- -----------------------

Pacote: sqlite3
Versão: 3.16.2-5 + deb9u2
CVE ID: CVE-2018-8740 CVE-2018-20346 CVE-2018-20506 CVE-2019-5827
                 CVE-2019-9936 CVE-2019-9937 CVE-2019-16168 CVE-2019-20218
                 CVE-2020-11655 CVE-2020-13434 CVE-2020-13630 CVE-2020-13632
                 CVE-2020-13871
Bug Debian:

Várias vulnerabilidades foram descobertas em sqlite3, uma biblioteca C que
implementa um mecanismo de banco de dados SQL.

CVE-2018-8740

    Bancos de dados cujo esquema está corrompido usando uma instrução CREATE TABLE AS
    pode causar uma anulação da referência do ponteiro NULL.

CVE-2018-20346

    Quando a extensão FTS3 está habilitada, sqlite3 encontra um inteiro
    estouro (e estouro de buffer resultante) para consultas FTS3 que ocorrem
    após mudanças elaboradas nas tabelas de sombra FTS3, permitindo
    atacantes para executar código arbitrário, aproveitando a capacidade de executar
    instruções SQL arbitrárias.

CVE-2018-20506

    Quando a extensão FTS3 está habilitada, sqlite3 encontra um inteiro
    estouro (e estouro de buffer resultante) para consultas FTS3 em um
    operação de "fusão" que ocorre após alterações elaboradas para a sombra FTS3
    tabelas, permitindo que atacantes remotos executem código arbitrário por
    aproveitando a capacidade de executar instruções SQL arbitrárias

CVE-2019-5827

    O estouro de inteiros permitiu que um invasor remoto pudesse explorar
    corrupção de heap por meio de uma página HTML elaborada, impactando principalmente
    cromo.

CVE-2019-9936

    A execução de consultas de prefixo fts5 dentro de uma transação pode desencadear um
    sobre-leitura do buffer baseado em heap, o que pode levar a um vazamento de informações.

CVE-2019-9937

    Intercalar leituras e gravações em uma única transação com um fts5
    a tabela virtual levará a uma anulação de referência do ponteiro NULL.

CVE-2019-16168

    Um navegador ou outro aplicativo pode ser acionado para travar devido a
    validação de parâmetro inadequada que pode levar a uma divisão por zero
    erro.

CVE-2019-20218

    COM o desenrolamento da pilha continua mesmo após um erro de análise, resultando
    em uma possível falha do aplicativo.

CVE-2020-13630

    O código relacionado ao recurso de snippet exibe um uso após livre
    defeito.

CVE-2020-13632

    Uma consulta matchinfo () elaborada pode levar a uma desreferência do ponteiro NULL.

CVE-2020-13871

    A reescrita da árvore de análise para as funções da janela é tarde demais, levando a
    um defeito de uso após livre.

CVE-2020-11655

    Uma inicialização inadequada de objetos AggInfo permite que os invasores
    causar uma negação de serviço (falha de segmentação) por meio de um
    consulta de função de janela.

CVE-2020-13434

    O código em sqlite3_str_vappendf em printf.c contém um inteiro
    defeito de transbordamento.

Para o Debian 9 stretch, esses problemas foram corrigidos na versão
3.16.2-5 + deb9u2.

Recomendamos que você atualize seus pacotes sqlite3.

Para o status de segurança detalhado de sqlite3, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/sqlite3

Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário