SQLite 存在高危漏洞

关键要点

• SQLite 库发现了来自 22 年前代码修改的高危漏洞。
• 漏洞编号为 CVE-2022-35737，影响 64 位系统。
• 攻击者可利用该漏洞进行任意代码执行或拒绝服务攻击。
• 漏洞已在 SQLite 版本 3.39.2 中得到修复。

流行的数据库库 SQLite 受到了一个高危漏洞的影响，该漏洞源于 22 年前的代码修改，相关信息由 报道。根据 Trail of Bits 的一份报告，攻击者可能利用该漏洞在 64 位系统上破坏程序。研究员 Andreas Kellas表示：“在库没有堆栈保护的时候，确认存在‘任意代码执行’；而在具有堆栈保护的情况下则未确认。此外，在所有情况下均确认存在拒绝服务。”

然而，该漏洞只能通过使用 %Q、%q 或 %w 格式替换类型的字符串成功利用。Kellas 补充道：“如果格式字符串包含 ‘!’ 特殊字符以启用
Unicode 字符扫描，则在最糟糕的情况下可能实现任意代码执行，或者使程序几乎无限期地挂起和循环。” SQLite 已在 7 月发布的版本 3.39.2中解决了此漏洞。

漏洞影响概览

漏洞名称 | CVE-2022-35737
—|—
漏洞类型 | 任意代码执行、拒绝服务
影响系统 | 64 位系统
修复版本 | 3.39.2
报告来源 |

相关链接

确保您的 SQLite 库已升级到最新版本，以防止潜在的安全风险。