JVNDB-2015-002489

SQLite におけるサービス運用妨害 (DoS) の脆弱性

SQLite は、照合順序の名前のデクォート (dequoting of collation-sequence names) を適切に実装していないため、サービス運用妨害 (初期化されていないメモリアクセスおよびアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。

SQLite

• SQLite 3.8.9 未満

アップル

• Apple Mac OS X 10.6.8 以降 10.11 未満
• watchOS 2 未満 (Apple Watch Edition)
• watchOS 2 未満 (Apple Watch Sport)
• watchOS 2 未満 (Apple Watch)

攻撃者により、巧妙に細工された COLLATE 節を介して、サービス運用妨害 (初期化されていないメモリアクセスおよびアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける可能性があります。

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

SQLite

• SQLite : Fix a problem causing collation sequence names to be dequoted multiple times under some circumstances.

アップル

• Apple Mailing Lists : APPLE-SA-2015-09-21-1 watchOS 2
• Apple Mailing Lists : APPLE-SA-2015-09-30-3 OS X El Capitan 10.11
• Apple Security Updates : HT205213
• Apple Security Updates : HT205267
• Apple セキュリティアップデート : HT205213
• Apple セキュリティアップデート : HT205267

1. 初期化されていないリソースの使用(CWE-908) [NVD評価]

1. CVE-2015-3414

1. JVN : JVNVU#97220341
2. JVN : JVNVU#99970459
3. National Vulnerability Database (NVD) : CVE-2015-3414
4. 関連文書 : several issues in SQLite (+ catching up on several other bugs)

• [2015年04月28日]
    掲載
  [2015年10月05日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：アップル (HT205213) を追加
    ベンダ情報：アップル (HT205267) を追加
    ベンダ情報：アップル (APPLE-SA-2015-09-21-1 watchOS 2) を追加
    ベンダ情報：アップル (APPLE-SA-2015-09-30-3 OS X El Capitan 10.11) を追加
    参考情報：JVN (JVNVU#99970459) を追加
    参考情報：JVN (JVNVU#97220341) を追加