Confira !!
Várias vulnerabilidades foram descobertas em sqlite3, uma biblioteca C que implementa um mecanismo de banco de dados SQL. CVE-2018-8740
-------------------------------------------------- -----------------------
Debian LTS Advisory DLA-2340-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/
22 de agosto de 2020 https://wiki.debian.org/LTS
-------------------------------------------------- -----------------------
Pacote: sqlite3
Versão: 3.16.2-5 + deb9u2
CVE ID: CVE-2018-8740 CVE-2018-20346 CVE-2018-20506 CVE-2019-5827
CVE-2019-9936 CVE-2019-9937 CVE-2019-16168 CVE-2019-20218
CVE-2020-11655 CVE-2020-13434 CVE-2020-13630 CVE-2020-13632
CVE-2020-13871
Bug Debian:
Várias vulnerabilidades foram descobertas em sqlite3, uma biblioteca C que
implementa um mecanismo de banco de dados SQL.
CVE-2018-8740
Bancos de dados cujo esquema está corrompido usando uma instrução CREATE TABLE AS
pode causar uma anulação da referência do ponteiro NULL.
CVE-2018-20346
Quando a extensão FTS3 está habilitada, sqlite3 encontra um inteiro
estouro (e estouro de buffer resultante) para consultas FTS3 que ocorrem
após mudanças elaboradas nas tabelas de sombra FTS3, permitindo
atacantes para executar código arbitrário, aproveitando a capacidade de executar
instruções SQL arbitrárias.
CVE-2018-20506
Quando a extensão FTS3 está habilitada, sqlite3 encontra um inteiro
estouro (e estouro de buffer resultante) para consultas FTS3 em um
operação de "fusão" que ocorre após alterações elaboradas para a sombra FTS3
tabelas, permitindo que atacantes remotos executem código arbitrário por
aproveitando a capacidade de executar instruções SQL arbitrárias
CVE-2019-5827
O estouro de inteiros permitiu que um invasor remoto pudesse explorar
corrupção de heap por meio de uma página HTML elaborada, impactando principalmente
cromo.
CVE-2019-9936
A execução de consultas de prefixo fts5 dentro de uma transação pode desencadear um
sobre-leitura do buffer baseado em heap, o que pode levar a um vazamento de informações.
CVE-2019-9937
Intercalar leituras e gravações em uma única transação com um fts5
a tabela virtual levará a uma anulação de referência do ponteiro NULL.
CVE-2019-16168
Um navegador ou outro aplicativo pode ser acionado para travar devido a
validação de parâmetro inadequada que pode levar a uma divisão por zero
erro.
CVE-2019-20218
COM o desenrolamento da pilha continua mesmo após um erro de análise, resultando
em uma possível falha do aplicativo.
CVE-2020-13630
O código relacionado ao recurso de snippet exibe um uso após livre
defeito.
CVE-2020-13632
Uma consulta matchinfo () elaborada pode levar a uma desreferência do ponteiro NULL.
CVE-2020-13871
A reescrita da árvore de análise para as funções da janela é tarde demais, levando a
um defeito de uso após livre.
CVE-2020-11655
Uma inicialização inadequada de objetos AggInfo permite que os invasores
causar uma negação de serviço (falha de segmentação) por meio de um
consulta de função de janela.
CVE-2020-13434
O código em sqlite3_str_vappendf em printf.c contém um inteiro
defeito de transbordamento.
Para o Debian 9 stretch, esses problemas foram corrigidos na versão
3.16.2-5 + deb9u2.
Recomendamos que você atualize seus pacotes sqlite3.
Para o status de segurança detalhado de sqlite3, consulte
sua página de rastreador de segurança em:
https://security-tracker.debian.org/tracker/sqlite3
Mais informações sobre os avisos de segurança Debian LTS, como se inscrever
essas atualizações em seu sistema e as perguntas mais frequentes podem ser
encontrado em: https://wiki.debian.org/LTS
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário