Идентификатор: BDU:2022-06495.
Наименование уязвимости: Уязвимость API-библиотеки системы управления базами данных SQLite, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код.
Описание уязвимости: Уязвимость API-библиотеки системы управления базами данных SQLite связана с непроверенным индексированием массива. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или выполнить произвольный код в ходе обработки длинной последовательности строковых данных, обрабатываемых функцией printf со строкой форматирования, включающей типы %Q, %q или %w
Уязвимое ПО: Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск» | Операционная система Debian GNU/Linux 10 | Операционная система Novell Inc. openSUSE Tumbleweed — | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Операционная система Debian GNU/Linux 11 | Операционная система ООО «Ред Софт» РЕД ОС 7.3 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Операционная система Novell Inc. OpenSUSE Leap 15.4 | Операционная система Novell Inc. openSUSE Leap Micro 5.2 | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | СУБД Hipp, Wyrick & Company, Inc. SQLite от 1.0.12 до 3.39.2 | Прикладное ПО информационных систем Oracle Corp. Communications Convergent Charging Controller 6.0.1.0.0 | Прикладное ПО информационных систем Oracle Corp. Communications Convergent Charging Controller от 12.0.1.0.0 до 12.0.5.0.0 включительно | Прикладное ПО информационных систем Oracle Corp. Communications Network Charging and Control 6.0.1.0.0 | Прикладное ПО информационных систем Oracle Corp. Communications Network Charging and Control от 12.0.1.0.0 до 12.0.5.0.0 включительно | Прикладное ПО информационных систем Oracle Corp. MySQL Workbench до 8.0.30 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 | Прикладное ПО информационных систем Kramer Electronics Ltd. Kramer VIA 4.0.1.1328 |
Наименование ОС и тип аппаратной платформы: Astra Linux Special Edition 16 «Смоленск» | Debian GNU/Linux 10 | openSUSE Tumbleweed — | OpenSUSE Leap 153 | Debian GNU/Linux 11 | РЕД ОС 73 | Astra Linux Special Edition 17 | OpenSUSE Leap 154 | openSUSE Leap Micro 52 | Astra Linux Special Edition 47 ARM | ОСОН ОСнова Оnyx до 27 |
Дата выявления: 03.08.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению:
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
— использование средств межсетевого экранирования уровня веб-приложений;
— ограничение возможности загрузки входных данных размером более 1 Гб.
Использование рекомендаций производителя:
Для SQLite:
https://www.sqlite.org/cves.html
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-35737
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-35737.html
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-sqlite-cve-2022-35737/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2022.html
Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
Для ОС Astra Linux Special Edition 1.7:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения sqlite3 до версии 3.40.1-1
Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
Компенсирующие меры для Kramer VIA:
— использование антивирусных средств защиты;
— мониторинг действий пользователей;
— запуск приложений от имени пользователя с минимальными возможными привилегиями в операционной системе;
— применение систем обнаружения и предотвращения вторжений..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-35737.
Тип ошибки CWE: CWE-129
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.sqlite.org/cves.html
https://security-tracker.debian.org/tracker/CVE-2022-35737
https://www.suse.com/security/cve/CVE-2022-35737.html
https://www.oracle.com/security-alerts/cpuoct2022.html
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20221220SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-sqlite-cve-2022-35737/
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
https://blog.trailofbits.com/2022/10/25/sqlite-vulnerability-july-2022-library-api/
Зеркало площадки Кракен маркетплейс — это альтернативный адрес, который позволяет пользователям обойти блокировки основного сайта и безопасно получить доступ к платформе. Зеркала полностью повторяют функционал оригинального сайта, сохраняя все его возможности. Важно использовать проверенные зеркала, чтобы избежать попадания на фальшивые ресурсы, которые могут украсть ваши данные или подвергнуть вас риску фишинга.
Чтобы безопасно войти на Кракен через зеркало, рекомендуется использовать Tor браузер, который гарантирует анонимность и защиту при доступе к Даркнету. Вставив актуальную ссылку на зеркало в адресную строку Tor, вы получите защищённый доступ к маркетплейсу и сможете пользоваться всеми его функциями без риска для своей конфиденциальности.
