Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kodearen urruneko exekuzioaren erako ahultasuna SQLite-n

Argitalpen data: 2019/05/10

Garrantzia: Handia

Kaltetutako baliabideak:

  • SQLite, 3.26.0 eta 3.27.0 bertsioak

Azalpena:

Cisco Talos-eko Cory Duplantis ikertzaileak aurkitu duenez, SQLitek memoriaren askapenaren ondoreneko erabilera erako ahultasun bat dauka, eta hori baliatuz gero, erasotzaile batek urrunetik kodea exekutatzeko ahalmena lor lezake xede den ekipoan.

Konponbidea:

Xehetasuna:

  • SQLite-k SQLren Window Functions ezaugarria dauka, lerroen azpimultzo edo window baten gainean kontsultak egitea ahalbidetzen duena. Ahultasun zehatz hau window funtzioan dago. Bereziki diseinatutako SQL komando batek memoriaren askapenaren ondoreneko erabilera erako ahultasun bat sor lezake, eta horrek kodearen urruneko exekuzioa eragin lezake. Ahultasun horretarako CVE-2019-5018 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna