漏洞预警SQLite远程代码执行漏洞

Posted 2021-04-30 SafedogCybersecurityLab

北京时间2018年12月10日，国家信息安全漏洞共享平台（CNVD）收录了SQLite远程代码执行漏洞（CNVD-2018-24855）。攻击者利用该漏洞，可在未授权的情况下远程执行代码。目前漏洞利用细节尚未公开。 

作为基础组件库的SQLite也作为扩展库被许多程序使用，例如php、Python、Java等等，攻击者可通过攻击代码，在一些进程的上下文中在本地或远程任意执行代码，或导致软件的拒绝服务。 并且，SQLite作为嵌入式数据库，支持大多数SQL标准，实现了无服务器、零配置、事务性的SQL数据库引擎，在网页浏览器、操作系统、嵌入式系统中使用较为广泛。 

此次漏洞与Chromium官方在11月份发布的包含SQLite远程代码执行漏洞有关。该漏洞通过调用Web SQL API（Web SQL数据库是引入了一套使用SQL操作客户端数据库的API，以SQLite作为底层实现，可在最新版的Chrome/Chromium浏览器运行。），临时创建数据库，并恶意修改SQLite数据库内部表，使代码运行至错误分支。之后，攻击者就可通过调用SQLite的数据库索引操作触发漏洞，实现对浏览器的远程攻击，在浏览器的渲染器（Render）进程执行任意代码。 

安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析，我们总结出了一些防护建议，敬请用户知晓。

漏洞相关信息

处置建议

安全狗攻防实验室总结的处置建议如下：

一、谷歌/SQLite官方修补方案

（1）将SQLite及SQLite库产品更新至3.26.0版本，该版本为目前的官方稳定版（https://www.sqlite.org/releaselog/3_26_0.html）。

（2）将Chromium产品更新至官方稳定版71.0.3578.80，或同步更新至代码版本Commit c368e30ae55600a1c3c9cb1710a54f9c55de786e(https://chromium.googlesource.com/chromium/src/+/c368e30ae55600a1c3c9cb1710a54f9c55de786e)。

二、临时解决方案

（1）关闭SQLite中的fts3功能如关闭此功能不影响产品，可禁用该功能。Safari在Webkit中关闭fts3的方案（请参考https://github.com/WebKit/webkit/commit/36ce0a5e2dc2def273c011bef04e58da8129a7d6）。

验证方法:执行如下javascript代码时，不返回{a:1}则表示已关闭该功能：

var db = openDatabase('xxxxx'+parseInt(Math.random()*10000).toString(),1, 'fts_demo', 5000000);
db.transaction(function(tx) {
     tx.executeSql('create virtual table x using fts3(a,b);');
     tx.executeSql('insert into x values (1,2);');
     tx.executeSql('select a from x;', [], function (tx, results) { 
console.log(results.rows[0]);
     });
});

（2）禁用WebSQL：编译时不编译third-party的sqlite组件

由于WebSQL没有任何规范，目前仅有Chrome、Safari支持。但是Safari也已经阉割了大部分sqlite功能。如果关闭此功能不影响产品，可禁用WebSQL。

验证方法：重新编译后的内核，应无法在控制台调用openDatabase函数。

参考链接

（1）谷歌安全公告：

https://chromereleases.googleblog.com/2018/12/stable-channel-update-for-desktop.htm

（2）SQLite更新公告：

https://www.sqlite.org/releaselog/3_26_0.html

（3）CNVD-关于SQLite远程代码执行漏洞的安全公告：

http://www.cnvd.org.cn/webinfo/show/4803