{"id":442133,"date":"2022-10-25T15:21:49","date_gmt":"2022-10-25T15:21:49","guid":{"rendered":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-22-anos-informada-en-la-biblioteca-de-base-de-datos-sqlite-ampliamente-utilizada\/"},"modified":"2022-10-25T15:21:50","modified_gmt":"2022-10-25T15:21:50","slug":"vulnerabilidad-de-22-anos-informada-en-la-biblioteca-de-base-de-datos-sqlite-ampliamente-utilizada","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/vulnerabilidad-de-22-anos-informada-en-la-biblioteca-de-base-de-datos-sqlite-ampliamente-utilizada\/","title":{"rendered":"Vulnerabilidad de 22 a\u00f1os informada en la biblioteca de base de datos SQLite ampliamente utilizada"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Se ha revelado una vulnerabilidad de alta gravedad en la biblioteca de la base de datos SQLite, que se introdujo como parte de un cambio de c\u00f3digo que data de octubre de 2000 y podr\u00eda permitir a los atacantes bloquear o controlar programas.<\/p>\n<p>rastreado como <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-35737\" target=\"_blank\">CVE-2022-35737<\/a> (puntuaci\u00f3n CVSS: 7.5), el problema de 22 a\u00f1os afecta a las versiones de SQLite <a rel=\"nofollow noopener\" href=\"https:\/\/www.sqlite.org\/changes.html#:~:text=type%20is%20%22gdbm%3A%22.-,2000%2D10%2D17%20(1.0.12),-Fixed%20an%20off\" target=\"_blank\">1.0.12<\/a> hasta 3.39.1, y se ha abordado en <a rel=\"nofollow noopener\" href=\"https:\/\/www.sqlite.org\/releaselog\/3_39_2.html\" target=\"_blank\">versi\u00f3n 3.39.2<\/a> publicado el 21 de julio de 2022.<\/p>\n<p>&#8220;CVE-2022-35737 es <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/trailofbits\/publications\/tree\/master\/disclosures\/CVE-2022-35737#readme\" target=\"_blank\">explotable<\/a> en sistemas de 64 bits, y la explotabilidad depende de c\u00f3mo se compile el programa&#8221;, dijo Andreas Kellas, investigador de Trail of Bits. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.trailofbits.com\/2022\/10\/25\/sqlite-vulnerability-july-2022-library-api\/\" target=\"_blank\">dijo<\/a> en un art\u00edculo t\u00e9cnico publicado hoy.<\/p>\n<p>&#8220;La ejecuci\u00f3n de c\u00f3digo arbitrario se confirma cuando la biblioteca se compila sin canarios de pila, pero no se confirma cuando hay canarios de pila presentes, y la denegaci\u00f3n de servicio se confirma en todos los casos&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Vulnerabilidad de la base de datos SQLite\" border=\"0\" data-original-height=\"493\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1666711309_26_Vulnerabilidad-de-22-anos-informada-en-la-biblioteca-de-base.jpg\" title=\"Vulnerabilidad de la base de datos SQLite\" \/><\/div>\n<p>Programado en C, <a rel=\"nofollow noopener\" href=\"https:\/\/thenewstack.io\/the-origin-story-of-sqlite-the-worlds-most-widely-used-database-software\/\" target=\"_blank\">SQLite<\/a> es el <a rel=\"nofollow noopener\" href=\"https:\/\/www.sqlite.org\/mostdeployed.html\" target=\"_blank\">m\u00e1s ampliamente usado<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/SQLite#Notable_uses\" target=\"_blank\">motor de base de datos<\/a>incluido de forma predeterminada en Android, iOS, Windows y macOS, as\u00ed como en navegadores web populares como Google Chrome, Mozilla Firefox y Apple Safari.<\/p>\n<p>La vulnerabilidad descubierta por Trail of Bits se refiere a un <a rel=\"nofollow noopener\" href=\"https:\/\/cwe.mitre.org\/data\/definitions\/190.html\" target=\"_blank\">error de desbordamiento de enteros<\/a> que ocurre cuando se pasan entradas de cadena extremadamente grandes como par\u00e1metros a las implementaciones de SQLite del <a rel=\"nofollow noopener\" href=\"https:\/\/www.sqlite.org\/c3ref\/mprintf.html\" target=\"_blank\">funciones de impresi\u00f3n<\/a>que, a su vez, hace uso de otra funci\u00f3n para manejar el formato de cadena (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.sqlite.org\/c3ref\/str_append.html\" target=\"_blank\">sqlite3_str_vappendf<\/a>&#8220;).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Sin embargo, un armamento exitoso de la falla se basa en el requisito previo de que la cadena contenga <a rel=\"nofollow noopener\" href=\"https:\/\/www.sqlite.org\/printf.html\" target=\"_blank\">los tipos de sustituci\u00f3n de formato %Q, %q o %w<\/a>lo que puede provocar un bloqueo del programa cuando los datos controlados por el usuario se escriben m\u00e1s all\u00e1 de los l\u00edmites de un b\u00fafer asignado por la pila.<\/p>\n<p>&#8220;Si la cadena de formato contiene el &#8216;!&#8217;  car\u00e1cter especial para habilitar el escaneo de caracteres Unicode, entonces es posible lograr la ejecuci\u00f3n de c\u00f3digo arbitrario en el peor de los casos, o hacer que el programa se cuelgue y se repita (casi) indefinidamente&#8221;, explic\u00f3 Kellas.<\/p>\n<p>La vulnerabilidad tambi\u00e9n es un ejemplo de un escenario que alguna vez se consider\u00f3 poco pr\u00e1ctico hace d\u00e9cadas (asignar cadenas de 1 GB como entrada) que se volvi\u00f3 factible con la llegada de <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/64-bit_computing\" target=\"_blank\">inform\u00e1tica de 64 bits<\/a> sistemas<\/p>\n<p>&#8220;Es un error que puede no haber parecido un error en el momento en que se escribi\u00f3 (que se remonta a 2000 en el c\u00f3digo fuente de SQLite) cuando los sistemas eran principalmente arquitecturas de 32 bits&#8221;, dijo Kellas.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/22-year-old-vulnerability-reported-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha revelado una vulnerabilidad de alta gravedad en la biblioteca de la base de datos SQLite, que<\/p>\n","protected":false},"author":1,"featured_media":442134,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,20698,205,4661,4325,17425,4664,1755,4662,47948,4668,4667,4654,4658,4659,4653,4655,4663,4666,4665,119796,26711,4014,4660],"class_list":["post-442133","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ampliamente","tag-anos","tag-ataques-ciberneticos","tag-base","tag-biblioteca","tag-como-hackear","tag-datos","tag-filtracion-de-datos","tag-informada","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sqlite","tag-utilizada","tag-vulnerabilidad","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/442133","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=442133"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/442133\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/442134"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=442133"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=442133"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=442133"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}