В SQLite обнаружена опасная уязвимость, скрывавшаяся 22 года

В SQLite обнаружена опасная уязвимость, скрывавшаяся 22 года

Она работает только на 64-битных системах, поэтому ранее брешь в защите могла казаться несерьезной.

Специалист по информационной безопасности Адреас Келлас обнаружил и подробно описал брешь в защите SQLite. Уязвимость с идентификатором CVE-2022-35737 получила оценку 7.5 из 10 по шкале CVSS. «Дыра» в защите связана с переполнением целочисленного значения и затрагивает SQLite версий с 1.0.12 по 3.39.1.

В описании CVE-2022-35737 содержится информация, что SQLite иногда может допускать переполнение границ массива, если миллиарды байт используются в строковом аргументе для C API. Благодаря этому хакер может выполнить произвольный код на пораженной системе или совершить DoS-атаку.

Келлас отметил, что описанную им уязвимость можно использовать только на 64-битных системах, поэтому 22 года назад эта проблема казалась несерьезной – почти все системы в то время были 32-битными.

Источник: Blog Trailofbits

Свежий выпуск «Люди PRO»

Читайте также