SQLite: Schwachstelle in Programmbibliothek erlaubt Remote Code Execution

Mindestens zwei Versionen der gemeinfreien SQL-Programmbibliothek SQLite weisen eine Schwachstelle auf, die Angreifer für die Codeausführung aus der Ferne missbrauchen könnten. Ciscos "Talos Security Intelligence and Research Group" hat das Sicherheitsrisiko in einem Blogeintrag als "kritisch" (CVSS-v3-Score 8.1) bewertet, die Schwachstelle im Detail beschrieben und Proof-of-Concept-Code veröffentlicht.

Aus dem Eintrag geht auch hervor, dass das Forscherteam die Schwachstelle bereits im Februar gemeldet hatte. Ende März veröffentlichte das SQLite-Team eine abgesicherte Version. Nun folgte das Public Release der Schwachstelle durch Cisco.

Version 3.28.0 vor Angriffen geschützt

Die Forscher haben ihren Proof-of-Concept an den SQLite-Versionen 3.26.0 und 3.27.0 getestet und führen diese in ihrer Beschreibung als verwundbar auf. Ob auch ältere Versionen betroffen sein könnten, geht aus dem Blogeintrag nicht hervor.

Softwareentwickler, die mit SQLite arbeiten, sollten sicherstellen, dass sie künftig die aktuelle Version 3.28.0 in ihren Projekten verwenden und, wo nötig, Sicherheitsupdates an die Endanwender verteilen.

Anwender wiederum können die Schwachstellen-Kennung CVE-2019-5018 zur Recherche nach Updates nutzen. Veröffentlichungen zu potenziell verwundbaren sqlite3-Packages gibt es bislang für die Linux-Distributionen SUSE (nicht betroffen), Debian und Ubuntu. (ovw)