一、背景描述

SQLite是使用广泛的开源数据库引擎，默认在iOS、CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android、Windows和macOS以及流行的Web浏览器中被使用。

近日，迪普安全研究院团队监测到SQLite拒绝服务漏洞（CVE-2022-35737）。攻击者可以利用该漏洞在目标上造成拒绝服务的攻击效果。由于此漏洞的POC已公开，迪普科技提醒相关用户尽快排查漏洞情况，及时更新至最新版本，以降低安全风险。

二、严重等级

高危

三、漏洞描述

该漏洞由于SQLite的某些函数允许攻击者传入大字符串，触发其数组越界导致拒绝服务，消耗系统内存和CPU资源，甚至构造恶意数据执行远程代码。攻击者可以恶意创建大字符串传入函数中，触发漏洞。

CVE-2022-35737漏洞复现截图：

四、影响范围

1.0.12 <= SQLite < 3.39.2

五、解决方案

1、 官方解决方案

官方已发布漏洞补丁及修复版本，酌情升级至安全版本，下载链接如下：

https://sqlite.org/releaselog/3_39_2.HTML

2、迪普解决方案

迪普科技安全服务团队可协助客户进行现网使用SQLite的信息资产的梳理，并帮助客户进行版本升级指导以及安全配置等各种安全加固工作。如服务器疑似被入侵，迪普科技可安排安全服务专家针对网络安全入侵事件，为客户提供快速应急响应支撑服务以及专业的安全建设建议，并指导客户完善安全防护措施。

迪普科技正在全力跟踪相关漏洞的最新进展，请启动设备自动更新特征库功能。有疑问的客户也可联系迪普科技当地办事处售后人员或拨打客户服务热线电话(400-6100-598)，进一步了解相关情况。

迪普科技安全服务团队拥有中国信息安全测评中心、中国网络安全审查技术与认证中心、中国通信企业协会、公安部一所等机构认证资质。作为中国国家信息安全漏洞库一级技术支撑单位，迪普科技安全服务团队依托业内一流的安全服务专家团队和丰富的行业经验积累，以高质量、高标准的理念，为各行业客户提供全面、深度涵盖信息系统规划立项、设计开发、建设实施、运行维护和系统废弃全生命周期的安全服务，帮助客户建立并持续完善网络安全技术和安全管理体系，提升客户信息系统的整体安全防护水平。