2021-1501: SQLite: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-07-15 15:45): Neues Advisory
Version 2 (2021-07-20 11:47): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'sqlite3' auf Version 3.36.0 bereit, welches die referenzierten 21 Schwachstellen behebt und ein neues Feature implementiert.

Betroffene Software

Server

Betroffene Plattformen

Cloud
Linux
Container

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, beliebigen Programmcode auszuführen, Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich.

Für openSUSE Leap 15.3, SUSE MicroOS 5.0, SUSE Manager Server 4.0, SUSE Manager Proxy 4.0, die SUSE Linux Enterprise Produkte Server 15 SP1 SAP / LTSS / BCL, Server 15 SAP / LTSS, Module for Basesystem 15 SP2 und 15 SP3, High Performance Computing 15 SP1 LTSS / ESPOS und 15 LTSS / ESPOS, SUSE Enterprise Storage 6 sowie SUSE CaaS Platform 4.0 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2015-3414

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2015-3415

Schwachstelle in SQLite ermöglicht Ausführung beliebigen Programmcodes

CVE-2019-19244

Schwachstelle in SQLite ermöglicht Ausführen beliebigen Programmcodes