一、安全预警
10月25日,研究人员披露了SQLite中的一个数组边界溢出漏洞(CVE-2022-35737),该漏洞的CVSSv3评分为7.5,并已存在了22年,目前漏洞细节和PoC已公开。
二、事件信息
(一)事件概要
事件名称 SQLite数组边界溢出漏洞
威胁类型 数组边界溢出
威胁等级 高
受影响的应用版本 >= 1.0.12 , < 3.39.2
(二)漏洞描述
该漏洞存在于SQLite中,当攻击者向SQLite的某些函数传递大量字符串输入且格式字符串包含%Q、%q或%w格式替换类型时,可能会造成缓冲区溢出,导致拒绝服务或任意代码执行。
(三)影响范围
1.0.12 <= SQLite版本 < 3.39.2
三、处置建议
目前该漏洞已经修复,受影响用户可以升级到SQLite 3.39.2或更高版本。
下载链接:https://www.sqlite.org/chronology.HTML
更新参考:https://sqlite.org/releaselog/3_39_2.HTML
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论