Vulnerabilidad en El archivo sqlite3.c en la función whereLoopAddBtreeIndex en SQLite (CVE-2019-16168)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-369
División por cero
Fecha de publicación:
09/09/2019
Última modificación:
07/11/2023
Descripción
En SQLite versiones hasta 3.29.0, la función whereLoopAddBtreeIndex en el archivo sqlite3.c puede bloquear un navegador u otra aplicación debido a la falta de comprobación de un campo sqlite_stat1 sz, también se conoce como "severe division by zero in the query planner.".
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:sqlite:sqlite:*:*:*:*:*:*:*:* | 3.8.5 (incluyendo) | 3.29.0 (incluyendo) |
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:windows:*:* | 7.3 (incluyendo) | |
cpe:2.3:a:netapp:active_iq_unified_manager:*:*:*:*:*:vmware_vsphere:*:* | 9.5 (incluyendo) | |
cpe:2.3:a:netapp:e-series_santricity_os_controller:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.60.3 (incluyendo) |
cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:netapp:oncommand_workflow_automation:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:netapp:ontap_select_deploy_administration_utility:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:netapp:santricity_unified_manager:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:netapp:steelstore_cloud_integrated_storage:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:*:*:*:* | ||
cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* | ||
cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00032.html
- http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00033.html
- https://kc.mcafee.com/corporate/index?page=content&id=SB10365
- https://lists.debian.org/debian-lts-announce/2020/08/msg00037.html
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/XZARJHJJDBHI7CE5PZEBXS5HKK6HXKW2/
- https://security.gentoo.org/glsa/202003-16
- https://security.netapp.com/advisory/ntap-20190926-0003/
- https://security.netapp.com/advisory/ntap-20200122-0003/
- https://usn.ubuntu.com/4205-1/
- https://www.mail-archive.com/sqlite-users%40mailinglists.sqlite.org/msg116312.html
- https://www.oracle.com/security-alerts/cpuapr2020.html
- https://www.oracle.com/security-alerts/cpujan2020.html
- https://www.sqlite.org/src/info/e4598ecbdd18bd82945f6029013296690e719a62
- https://www.sqlite.org/src/timeline?c=98357d8c1263920b
- https://www.tenable.com/security/tns-2021-08
- https://www.tenable.com/security/tns-2021-11
- https://www.tenable.com/security/tns-2021-14