SQLite: Schwachstelle in Programmbibliothek erlaubt Remote Code Execution

Seit April gibt es SQLite in Version 3.28.0. Angesichts einer kritischen Schwachstelle in frĂĽheren Versionen sollten Entwickler schleunigst umsteigen.

In Pocket speichern vorlesen Druckansicht 30 Kommentare lesen
SQLite: Schwachstelle in Programmbibliothek erlaubt Remote Code Execution

(Bild: geralt)

Lesezeit: 1 Min.

Mindestens zwei Versionen der gemeinfreien SQL-Programmbibliothek SQLite weisen eine Schwachstelle auf, die Angreifer für die Codeausführung aus der Ferne missbrauchen könnten. Ciscos "Talos Security Intelligence and Research Group" hat das Sicherheitsrisiko in einem Blogeintrag als "kritisch" (CVSS-v3-Score 8.1) bewertet, die Schwachstelle im Detail beschrieben und Proof-of-Concept-Code veröffentlicht.

Aus dem Eintrag geht auch hervor, dass das Forscherteam die Schwachstelle bereits im Februar gemeldet hatte. Ende März veröffentlichte das SQLite-Team eine abgesicherte Version. Nun folgte das Public Release der Schwachstelle durch Cisco.

Die Forscher haben ihren Proof-of-Concept an den SQLite-Versionen 3.26.0 und 3.27.0 getestet und führen diese in ihrer Beschreibung als verwundbar auf. Ob auch ältere Versionen betroffen sein könnten, geht aus dem Blogeintrag nicht hervor.

Softwareentwickler, die mit SQLite arbeiten, sollten sicherstellen, dass sie künftig die aktuelle Version 3.28.0 in ihren Projekten verwenden und, wo nötig, Sicherheitsupdates an die Endanwender verteilen.

Anwender wiederum können die Schwachstellen-Kennung CVE-2019-5018 zur Recherche nach Updates nutzen. Veröffentlichungen zu potenziell verwundbaren sqlite3-Packages gibt es bislang für die Linux-Distributionen SUSE (nicht betroffen), Debian und Ubuntu. (ovw)