Ukuba sesichengeni kwiSQLite evumela uhlaselo olukude kwiChrome ngeWebSQL

Abaphandi bokhuseleko abavela kwinkampani yaseTshayina iTencent thaca uhlobo olutsha lokuba sesichengeni Magellan (I-CVE-2019-13734), ekuvumela ukuba ufezekise ukwenziwa kwekhowudi xa kusetyenzwa ukwakhiwa kweSQL eyilwe ngendlela ethile kwiSQLite DBMS. Kwakukho ubuthathaka obufanayo ipapashiwe ngabaphandi abafanayo kunyaka ophelileyo. Ubuthathaka buphawuleka kuba kuvumela umntu ukuba ahlasele ekude isiphequluli seChrome aze afezekise ulawulo lwenkqubo yomsebenzisi xa evula amaphepha ewebhu alawulwa ngumhlaseli.

Uhlaselo lweChrome/Chromium lwenziwa ngeWebSQL API, umphathi wayo osekwe kwikhowudi yeSQLite. Ukuhlaselwa kwezinye izicelo kunokwenzeka kuphela ukuba zivumela ukudluliselwa kwezakhiwo ze-SQL ezivela ngaphandle ukuya kwi-SQLite, umzekelo, basebenzisa i-SQLite njengefomathi yokutshintshiselana kwedatha. IFirefox ayinabungozi kuba iMozilla wala ukusuka ekuphunyezweni kweWebSQL inzuzo IndexedDB API.

UGoogle uwulungisile umba ekukhululweni Chrome 79. Bekukho ingxaki kwisiseko sekhowudi yeSQLite ilungisiwe NgoNovemba 17, kunye neChromium codebase - 21 Novemba.
Ingxaki ikhona kwi ikhowudi I-injini yokukhangela ye-FTS3 egcweleyo ngokusetyenziswa kweetafile zethunzi (uhlobo olulodwa lwetheyibhile enenyani enokubhaleka) inokukhokelela kurhwaphilizo lwesalathisi kunye nokuphuphuma kwebuffer. Iinkcukacha ezithe vetshe malunga neendlela zokusebenza ziya kupapashwa emva kweentsuku ezingama-90.

Ukukhutshwa kweSQLite entsha kunye nokulungiswa okwangoku ayibunjwanga (kulindeleke ukuba NgoDisemba 31). Njengomsebenzi wokhuseleko, ukuqala ngeSQLite 3.26.0, imowudi yeSQLITE_DBCONFIG_DEFENSIVE ingasetyenziswa, ekhubaza ukubhala kwiitafile zethunzi kwaye iyacetyiswa ukuba ibandakanywe xa kusetyenzwa imibuzo yangaphandle yeSQL kwiSQLite. Kwiikiti zokusasaza, ukuba sesichengeni kwithala leencwadi leSQLite kuhlala kungalungiswanga Debian, Ubuntu, RHEL, vulaSUSE / SUSE, Arch Linux, Fedora, FreeBSD. I-Chromium kulo lonke unikezelo sele ihlaziywe kwaye ayichatshazelwa bubungozi, kodwa ingxaki inokuchaphazela iziphequluli ezahlukeneyo zeqela lesithathu kunye nezicelo ezisebenzisa i-injini yeChromium, kunye nezicelo ze-Android ezisekwe kwiWebview.

Ukongeza, iingxaki ezi-4 ezingaphantsi kobungozi ziye zachongwa kwiSQLite (I-CVE-2019-13750, I-CVE-2019-13751, I-CVE-2019-13752, I-CVE-2019-13753), enokukhokelela ekuvuzeni kolwazi kunye nokuthintela izithintelo (zinokusetyenziswa njengezinto ezinegalelo ekuhlaselweni kweChrome). Le miba yalungiswa kwikhowudi yeSQLite ngoDisemba 13. Kuthatyathwe kunye, iingxaki zivumele abaphandi ukuba balungiselele ukuxhaphazwa okusebenzayo okuvumela ukuba ikhowudi iqhutywe kumxholo wenkqubo yeChromium ejongene nokunikezela.

umthombo: opennet.ru