安全通告-SQLite 拒绝服务漏洞风险提示 (CVE-2022-35737)
发布时间:2022-11-01
阅读次数:5067
一、 漏洞公告
近日,监测到 SQLite 拒绝服务漏洞(CVE-2022-35737),CVSS 评分7.5。该漏洞是由于SQLite 存在数组边界溢出,当攻击者将大字符串传递给 SQLite 的CAPI 字符串参数时,会导致拒绝服务,消耗系统内存和 CPU 资源。此漏洞影响范围广泛,建议受影响的用户尽快采取安全措施。
参考链接: https://nvd.nist.gov/vuln/detail/CVE-2022-35737
二、影响范围
受影响版本:
1.0.12 <= SQLite < 3.39.2
安全版本:
SQLite 3.39.2或更高版本
三、漏洞描述
SQLite是一个C语言库,它实现了一个小型、快速、自包含、高可靠性、全功能的SQL数据库引擎。
SQLite 拒绝服务漏洞( CVE-2022-35737):SQLite 存在数组边界溢出,当攻击者将大字符串传递给 SQLite 的 CAPI 字符串参数时,会导致拒绝服务,并且可能实现任意代码执行。
已验证该漏洞的可利用性:
四、缓解措施
高危:目前漏洞细节和利用代码已公开,官方已发布新版本修复了此漏洞,建议受影响用户及时升级更新到安全版本。
官方建议: 1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本下载链接:
https://sqlite.org/releaselog/3_39_2.html
来源:SQLite官网
/
网络安全