์ค๊ตญ ํ์ฌ Tencent์ ๋ณด์ ์ฐ๊ตฌ์ ์ ์ ์๋ก์ด ์ทจ์ฝ์ ๋ณ์ข
๋ง์ ค๋ (CVE-2019-13734)๋ฅผ ์ฌ์ฉํ๋ฉด SQLite DBMS์์ ํน์ ๋ฐฉ์์ผ๋ก ์ค๊ณ๋ SQL ๊ตฌ๋ฌธ์ ์ฒ๋ฆฌํ ๋ ์ฝ๋๋ฅผ ์คํํ ์ ์์ต๋๋ค. ๋น์ทํ ์ทจ์ฝ์ ์ด ์์์ต๋๋ค. ์ถํ์ฌ : XNUMX๋
์ ๊ฐ์ ์ฐ๊ตฌ์์ ์ํด. ์ด ์ทจ์ฝ์ ์ ๊ณต๊ฒฉ์๊ฐ ์ ์ดํ๋ โโ์น ํ์ด์ง๋ฅผ ์ด ๋ Chrome ๋ธ๋ผ์ฐ์ ๋ฅผ ์๊ฒฉ์ผ๋ก ๊ณต๊ฒฉํ๊ณ ์ฌ์ฉ์ ์์คํ
์ ์ ์ดํ ์ ์๋ค๋ ์ ์์ ์ฃผ๋ชฉํ ๋งํฉ๋๋ค.
Chrome/Chromium์ ๋ํ ๊ณต๊ฒฉ์ SQLite ์ฝ๋๋ฅผ ๊ธฐ๋ฐ์ผ๋ก ํ๋ ํธ๋ค๋ฌ์ธ WebSQL API๋ฅผ ํตํด ์ํ๋ฉ๋๋ค. ๋ค๋ฅธ ์ ํ๋ฆฌ์ผ์ด์
์ ๋ํ ๊ณต๊ฒฉ์ ์ธ๋ถ์์ SQLite๋ก ๋ค์ด์ค๋ SQL ๊ตฌ์ฑ์ ์ ์ก์ ํ์ฉํ๋ ๊ฒฝ์ฐ์๋ง ๊ฐ๋ฅํฉ๋๋ค. ์๋ฅผ ๋ค์ด SQLite๋ฅผ ๋ฐ์ดํฐ ๊ตํ ํ์์ผ๋ก ์ฌ์ฉํฉ๋๋ค. Firefox๋ Mozilla ๋๋ฌธ์ ์ทจ์ฝํ์ง ์์ต๋๋ค. ๊ฑฐ์ ํ WebSQL ๊ตฌํ์์ ์ด์ต IndexedDB API.
Google์ ์ถ์ ์ค ๋ฌธ์ ๋ฅผ ํด๊ฒฐํ์ต๋๋ค. ํฌ๋กฌ 79. SQLite ์ฝ๋๋ฒ ์ด์ค์ ๋ฌธ์ ๊ฐ ์์ต๋๋ค ๊ฒฐ์ ๋ 17์ XNUMX์ผ ๋ฐ Chromium ์ฝ๋๋ฒ ์ด์ค์์ - 21 11์.
๋ฌธ์ ๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค. ์ํธ FTS3 ์ ์ฒด ํ
์คํธ ๊ฒ์ ์์ง๊ณผ ์๋์ฐ ํ
์ด๋ธ(์ฐ๊ธฐ ๊ฐ๋ฅํ ํน์ํ ์ ํ์ ๊ฐ์ ํ
์ด๋ธ) ์กฐ์์ ํตํด ์ธ๋ฑ์ค ์์ ๋ฐ ๋ฒํผ ์ค๋ฒํ๋ก๊ฐ ๋ฐ์ํ ์ ์์ต๋๋ค. ์ด์ ๊ธฐ์ ์ ๋ํ ์์ธํ ์ ๋ณด๋ 90์ผ ํ์ ๊ณต๊ฐ๋ฉ๋๋ค.
ํ์ฌ ์์ ์ฌํญ์ด ํฌํจ๋ ์๋ก์ด SQLite ๋ฆด๋ฆฌ์ค ํ์ฑ๋์ง ์์ (์์๋๋ค 31์ 3.26.0์ผ). ๋ณด์ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก SQLite XNUMX๋ถํฐ SQLITE_DBCONFIG_DEFENSIVE ๋ชจ๋๋ฅผ ์ฌ์ฉํ ์ ์์ต๋๋ค. ์ด ๋ชจ๋๋ ์๋์ฐ ํ
์ด๋ธ์ ์ฐ๊ธฐ๋ฅผ ๋นํ์ฑํํ๊ณ SQLite์์ ์ธ๋ถ SQL ์ฟผ๋ฆฌ๋ฅผ ์ฒ๋ฆฌํ ๋ ํฌํจํ๋ ๊ฒ์ด ์ข์ต๋๋ค. ๋ฐฐํฌ ํคํธ์์ SQLite ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ์ทจ์ฝ์ ์ ์์ง ์์ ๋์ง ์์ ์ํ๋ก ๋จ์ ์์ต๋๋ค. ๋ฐ๋น์, Ubuntu, RHEL, ์คํ ์์ธ / ์์ธ, ์์น ๋ฆฌ๋
์ค, ํ๋๋ผ, FreeBSD์. ๋ชจ๋ ๋ฐฐํฌํ์ Chromium์ ์ด๋ฏธ ์
๋ฐ์ดํธ๋์ด ์ทจ์ฝ์ ์ ์ํฅ์ ๋ฐ์ง ์์ต๋๋ค. ๊ทธ๋ฌ๋ ์ด ๋ฌธ์ ๋ Chromium ์์ง์ ์ฌ์ฉํ๋ ๋ค์ํ ํ์ฌ ๋ธ๋ผ์ฐ์ ๋ฐ ์ ํ๋ฆฌ์ผ์ด์
์ ๋ฌผ๋ก Webview ๊ธฐ๋ฐ Android ์ ํ๋ฆฌ์ผ์ด์
์๋ ์ํฅ์ ๋ฏธ์น ์ ์์ต๋๋ค.
๋ํ SQLite์์๋ ๋ ์ํํ 4๊ฐ์ง ๋ฌธ์ ๋ ํ์ธ๋์์ต๋๋ค(CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753)๋ก ์ธํด ์ ๋ณด ์ ์ถ ๋ฐ ์ ํ ์ฐํ๋ก ์ด์ด์ง ์ ์์ต๋๋ค(ํฌ๋กฌ ๊ณต๊ฒฉ์ ์์ธ์ผ๋ก ํ์ฉ๋ ์ ์์). ์ด๋ฌํ ๋ฌธ์ ๋ 13์ XNUMX์ผ์ SQLite ์ฝ๋์์ ์์ ๋์์ต๋๋ค. ์ข
ํฉ์ ์ผ๋ก ๋งํ์๋ฉด, ์ด ๋ฌธ์ ๋ค์ ํตํด ์ฐ๊ตฌ์๋ค์ ๋ ๋๋ง์ ๋ด๋นํ๋ Chromium ํ๋ก์ธ์ค์ ์ปจํ
์คํธ์์ ์ฝ๋๊ฐ ์คํ๋ ์ ์๋๋ก ํ๋ ์๋ ๊ฐ๋ฅํ ์ต์คํ๋ก์์ ์ค๋นํ ์ ์์์ต๋๋ค.
์ถ์ฒ : opennet.ru