ProHoster > Pūnaewele > nūhou pūnaewele > ʻO ka vulnerability i SQLite e hiki ai i nā hoʻouka mamao ma Chrome ma o WebSQL

ʻO ka vulnerability i SQLite e hiki ai i nā hoʻouka mamao ma Chrome ma o WebSQL

ʻO nā mea noiʻi palekana mai ka hui Kina Tencent hōʻike ʻia ʻano vulnerability hou Magellan (CVE-2019-13734), hiki iā ʻoe ke hoʻokō i ka hoʻokō code i ka wā e hoʻoponopono ai i nā kūkulu SQL i hoʻolālā ʻia ma kekahi ala i ka SQLite DBMS. Ua loaʻa kahi nāwaliwali like hoʻopuka ʻia e nā mea noiʻi like i hoʻokahi makahiki i hala. ʻIke ʻia ka nāwaliwali ma ka hiki ʻana i kekahi ke hoʻouka mamao aku i ka polokalamu Chrome a loaʻa ka mana ma luna o ka ʻōnaehana o ka mea hoʻohana i ka wā e wehe ai i nā ʻaoʻao pūnaewele i hoʻomalu ʻia e ka mea hoʻouka.

Hoʻokō ʻia ka hoʻouka ʻana ma Chrome/Chromium ma o ka WebSQL API, ʻo ka mea hoʻohana i hoʻokumu ʻia ma ke code SQLite. Hiki ke hoʻouka ʻia i nā noi ʻē aʻe inā ʻae lākou i ka hoʻololi ʻana i nā kūkulu SQL e hele mai ana mai waho aku i SQLite, no ka laʻana, hoʻohana lākou iā SQLite ma ke ʻano he ʻano no ka hoʻololi ʻana i ka ʻikepili. ʻAʻole palupalu ʻo Firefox no ka mea ʻo Mozilla hōʻole mai ka hoʻokō ʻana o WebSQL pomaikai IndexedDB API.

Ua hoʻoponopono ʻo Google i ka pilikia ma ka hoʻokuʻu Pūnaewele 79. Aia kekahi pilikia ma ka SQLite codebase paa Nowemapa 17, a ma ka waihona code Chromium - ʻO 21 Nowemapa.
Aia ka pilikia ma pāʻālua ʻO ka ʻenekini huli kikokikona piha FTS3 a ma o ka hoʻopololei ʻana i nā papa malu (kahi ʻano kūikawā o ka papa ʻaina virtual me ka hiki ke kākau ʻia) hiki ke alakaʻi i ka palaho kuhikuhi a me ke kahe ʻana o ka buffer. E paʻi ʻia ka ʻike kikoʻī e pili ana i nā ʻenehana hana ma hope o 90 mau lā.

Hoʻokuʻu hou SQLite me ka hoʻoponopono no kēia manawa ʻaʻole i hoʻokumu ʻia (manao ia 31 o Dekemaba). Ma ke ʻano he hana palekana, e hoʻomaka ana me SQLite 3.26.0, hiki ke hoʻohana ʻia ke ʻano SQLITE_DBCONFIG_DEFENSIVE, kahi e hoʻopau ai i ke kākau ʻana i nā papa malu a manaʻo ʻia no ka hoʻokomo ʻana i ka wā e hoʻoponopono ai i nā nīnau SQL o waho ma SQLite. I nā pahu hāʻawi, ʻaʻole i hoʻopaʻa ʻia ka nāwaliwali o ka waihona SQLite Debian, Ubuntu, RHEL, openSUSE / SUSE, Kūnaewele Linux, ʻO Fedora, FreeBSD. Ua hōʻano hou ʻia ʻo Chromium ma nā māhele āpau a ʻaʻole i hoʻopilikia ʻia e ka nāwaliwali, akā hiki i ka pilikia ke pili i nā polokalamu kele pūnaewele ʻekolu a me nā noi e hoʻohana ana i ka mīkini Chromium, a me nā noi Android e pili ana i ka Webview.

Hoʻohui ʻia, ua ʻike pū ʻia nā pilikia pilikia 4 ma SQLite (CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753), hiki ke alakaʻi i ka leakage ʻike a me ke kaʻe ʻana i nā mea kapu (hiki ke hoʻohana ʻia i mea kōkua no ka hoʻouka ʻana iā Chrome). Ua hoʻopaʻa ʻia kēia mau pilikia ma ka code SQLite ma Dekemaba 13th. Hoʻohui pū ʻia, ua ʻae nā pilikia i nā mea noiʻi e hoʻomākaukau i kahi hana hana e hiki ai ke hoʻokō ʻia ke code i loko o ka pōʻaiapili o ke kaʻina Chromium kuleana no ka hoʻolilo ʻana.

Source: opennet.ru

Pākuʻi i ka manaʻo hoʻopuka