問題

脆弱性 CVE-2022-35737 が SQLite バージョン 1.0.12 から 3.39.x に対して報告されています。

エラーメッセージ

N/A

原因

CVE-2022-35737

SQLite 1.0.12 から 3.39.x (3.39.2 以前) では、C-API の文字列引数に数十億バイトを使用すると、配列境界のオーバーフローが発生する場合があります。

https://nvd.nist.gov/vuln/detail/CVE-2022-35737

解決策

Backup Exec 22.0 & 22.1

Backup Exec (BE) は C-API にデータを送信します。しかし、この問題は SQLite が DSQLITE_ENABLE_STAT4 オプションでコンパイルされている場合にのみ発生します。

BE 22.x はこのオプションを使用してコンパイルされていないため、BE は影響を受けません。

近日リリース予定の BE 22.2 には、この脆弱性の影響を受けない SQLite バージョン 3.41.0 が含まれる予定です。