L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de SQLite : trois vulnérabilités

Synthèse de la vulnérabilité 

Un attaquant peut employer plusieurs vulnérabilités de SQLite.
Logiciels vulnérables : Debian, BIG-IP Hardware, TMOS, Fedora, Juniper EX-Series, Juniper J-Series, Junos OS, MX-Series, PTX-Series, QFX-Series, SRX-Series, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, PHP, RHEL, Slackware, SQLite, Synology DS***, Synology RS***, Ubuntu.
Gravité de cette annonce : 2/4.
Nombre de vulnérabilités dans ce bulletin : 3.
Date de création : 15/04/2015.
Références de cette vulnérabilité informatique : bulletinapr2016, CERTFR-2015-AVI-265, cpujul2018, CVE-2015-3414, CVE-2015-3415, CVE-2015-3416, DSA-3252-1, DSA-3252-2, FEDORA-2015-6324, FEDORA-2015-6349, JSA11055, MDVSA-2015:217, RHSA-2015:1634-01, RHSA-2015:1635-01, SOL16950, SSA:2015-198-02, USN-2698-1, VIGILANCE-VUL-16615.

Description de la vulnérabilité 

Plusieurs vulnérabilités ont été annoncées dans SQLite.

Un attaquant peut forcer la lecture à une adresse invalide dans l'analyseur de directive de tri, afin de mener un déni de service. [grav:1/4; CVE-2015-3414]

Un attaquant peut provoquer l'utilisation d'une zone mémoire libérée, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:1/4; CVE-2015-3415]

Un attaquant peut provoquer un buffer overflow dans une utilisation de printf, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4; CVE-2015-3416]
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette annonce cybersécurité concerne les logiciels ou systèmes comme Debian, BIG-IP Hardware, TMOS, Fedora, Juniper EX-Series, Juniper J-Series, Junos OS, MX-Series, PTX-Series, QFX-Series, SRX-Series, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Internet Directory, Solaris, Tuxedo, WebLogic, PHP, RHEL, Slackware, SQLite, Synology DS***, Synology RS***, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cette alerte de menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de document.

Ce bulletin concerne 3 vulnérabilités.

Un attaquant avec un niveau de compétence expert peut exploiter cette faille cyber-sécurité.

Solutions pour cette menace 

SQLite : version 3.8.9.
La version 3.8.9 est corrigée :
  https://www.sqlite.org/2015/sqlite-amalgamation-3080900.zip

Debian : nouveaux paquetages sqlite3.
De nouveaux paquetages sont disponibles :
  Debian 8 : sqlite3 3.8.7.1-1+deb8u1
  Debian 7 : sqlite3 3.7.13-1+deb7u2

F5 BIG-IP : solution pour SQLite.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages spatialite-tools.
De nouveaux paquetages sont disponibles :
  Fedora 20 : spatialite-tools 4.1.1-12.fc20
  Fedora 21 : spatialite-tools 4.2.0-10.fc21

Fedora : nouveaux paquetages sqlite.
De nouveaux paquetages sont disponibles :
  Fedora 20 : sqlite 3.8.9-1.fc20
  Fedora 21 : sqlite 3.8.9-1.fc21

Junos OS : versions corrigées pour SQLite.
Les versions corrigées sont indiquées dans les sources d'information.

Mandriva : nouveaux paquetages sqlite3.
De nouveaux paquetages sont disponibles :
  Mandriva BS1 : sqlite3 3.8.9-1.mbs1
  Mandriva BS2 : sqlite3 3.8.9-1.mbs2

Oracle Fusion Middleware : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2394520.1

PHP : version 5.4.42.
La version 5.4.42 est corrigée :
  http://php.net/get/php-5.4.42.tar.bz2/from/a/mirror

PHP : version 5.5.26.
La version 5.5.26 est corrigée :
  http://php.net/get/php-5.5.26.tar.bz2/from/a/mirror

PHP : version 5.6.10.
La version 5.6.10 est corrigée :
  http://php.net/get/php-5.6.10.tar.bz2/from/a/mirror

RHEL : nouveaux paquetages sqlite.
De nouveaux paquetages sont disponibles :
  RHEL 6 : sqlite 3.6.20-1.el6_7.2
  RHEL 7 : sqlite 3.7.17-6.el7_1.1

Slackware : nouveaux paquetages php (20/07/2015).
De nouveaux paquetages sont disponibles :
  Slackware 14.0 : php 5.4.43-*-1_slack14.0
  Slackware 14.1 : php 5.4.43-*-1_slack14.1

Solaris : patch pour logiciels tiers 04/2016.
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

Synology DS214, RS214 : version 5.2-5592.
La version 5.2-5592 est corrigée.

Ubuntu : nouveaux paquetages libsqlite3-0.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : libsqlite3-0 3.8.7.4-1ubuntu0.1
  Ubuntu 14.04 LTS : libsqlite3-0 3.8.2-1ubuntu2.1
  Ubuntu 12.04 LTS : libsqlite3-0 3.7.9-2ubuntu1.2
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit un bulletin de vulnérabilités de réseaux. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.