检测

FreeBSD:sqlite -- 多种漏洞 (dec3164f-3121-45ef-af18-bb113ac5082f)

high Nessus 插件 ID 82893

语言:

简介

远程 FreeBSD 主机缺少与安全相关的更新。

描述

NVD 报告:

3.8.9 之前版本的 SQLite 未正确实现合并序列名称的取消引用,从而允许上下文有关的攻击者通过构建的 COLLATE 语句造成拒绝服务(未初始化内存访问和应用程序崩溃)或可能造成其他不明影响,这一点已由 SELECT 语句末尾的 COLLATE'''''''' 证实。

3.8.9 之前版本的 SQLite 的 vdbe.c 中的 sqlite3VdbeExec 函数未正确实现比较运算符,从而允许上下文有关的攻击者通过构建的 CHECK 语句造成拒绝服务(无效的释放操作)或可能造成其他不明影响,这一点已由 CREATE TABLE 语句中的 CHECK(0&O>O) 证实。

3.8.9 之前版本的 SQLite 的 printf.c 中的 sqlite3VXPrintf 函数在浮点转换期间未正确处理精度和宽度值,从而允许上下文有关的攻击者通过 SELECT 语句中构建的 printf 函数调用内的大整数来造成拒绝服务(整数溢出和基于堆栈的缓冲区溢出)或可能造成其他不明影响。

解决方案

更新受影响的程序包。

另见

https://www.sqlite.org/src/info/eddc05e7bb31fae7

https://www.sqlite.org/src/info/02e3c88fbf6abdcf

https://www.sqlite.org/src/info/c494171f77dc2e5e

https://seclists.org/fulldisclosure/2015/Apr/31

http://www.nessus.org/u?972e9809

插件详情

严重性: High

ID: 82893

文件名: freebsd_pkg_dec3164f312145efaf18bb113ac5082f.nasl

版本: 1.8

类型: local

发布时间: 2015/4/20

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:sqlite3, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2015/4/18

漏洞发布日期: 2015/4/14

参考资料信息

CVE: CVE-2015-3414, CVE-2015-3415, CVE-2015-3416