Kriittinen haavoittuvuus SQLite -tietokantakirjastossa sekä Chromium pohjaisissa web-selaimissa

Haavoittuvuus30/2018

Tietoturvatutkijat (Tencent Blade Team) ovat löytäneet kriittisen verkon yli hyödynnettävissä olevan (RCE) haavoittuvuuden SQLite tietokantakirjastosta, joka altistaa hyvin suuren määrän erilasia ohjelmistoja hyväksikäytölle. Tutkijat olivat myös todentaneet saman haavoittuvuuden Chromium-pohjaisissa web-selaimissa.

Haavoittuvuudelle on annettu nimeksi "Magellan" ja sen hyväksikäyttö voi mahdollistaa kohdejärjestelmän muistin rajoittamattoman lukemisen tai sovelluksen suorituksen häiriintymisen ja kaatumisen. Tutkijat eivät ole julkaisseet vielä toistaiseksi hyväksikäyttömenetelmää (PoC) tai tarkempia yksityiskohtia hyökkäyksestä. Vielä ei myöskään ole havaittu että haavoittuvuutta hyödynnettäisiin missään käynnissä olevissa hyökkäyksissä.

SQLite on hyvin yleisesti erilaisissa sovelluksissa sekä käyttöjärjestelmissä käytetty relaatiotietokantajärjestelmä. Järjestelmä on toteutettu pienenä C-kielellä toteutettuna kirjastona ja se linkitetään suoraan sitä käyttävään sovellukseen, ilman erillistä tietokantarajapintaa tai tietokannanhallintaohjelmistoa.

Haavoittuvuus koskee kaikkia SQLite kirjaston 3.26.0 versiota aiempia julkaisuja käyttäviä sovelluksia, mutta sen hyväksikäyttömahdollisuudet vaihtelevat sovelluskohtaisesti.

Chromium web-selaimista kaikki julkaisua 71.0.3578.80 vanhemmat versiot ovat haavoittuvia.

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Sulautetut järjestelmät
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

SQLite kirjaston 3.26.0 versiota aiempia julkaisuja käyttävät sovellukset

Chromium web-selaimien kaikki julkaisua 71.0.3578.80 vanhemmat versiot

Ratkaisu- ja rajoitusmahdollisuudet

Korjaavat ohjelmistopäivitykset

Lisätietoja

Alkuperäinen haavoittuvuustiedote julkaistu 17.12.2018