急訊!SQLite DB嚴重漏洞”麥哲倫”,波及全球IT環境

圖片來源:https://upload.wikimedia.org/wikipedia/commons/thumb/3/38/SQLite370.svg/199px-SQLite370.svg.png

關聯式資料庫引擎SQLite,係C語言開發,為輕量級嵌入式資料庫,可整合在用戶程式中,非常見的主從式架構,經騰訊刀鋒安全團隊(Tencent Blade security Team)研究,SQLite存在嚴重RCE,攻擊者可從遠距或本機,循Web SQL API介面注入程式碼字串後,被視作SQL語法執行,衍生資料外洩、服務停止等後果。因SQLite蹤跡遍及全球各類硬體、OS、應用程式,特別是採用Chromium開源技術之瀏覽器(Google Chrome、Vivaldi、Opera、Brave),影響範圍之廣無法估計,該漏洞命名為’Magellan’,取麥哲倫航海環繞地球之意,儘管SQLite Team已改善,且暫無在野攻擊事件,然囿於全面修補工程浩大,以及官方修補釋出後必遭逆向工程研究其探勘原理,”麥哲倫”仍將威脅軟體生態數年,確定安全無虞者為Firefox、Edge、Safari、Chrome 71.0.3578.80以後版本。

影響產品:SQLite 3.26.0之前版本

解決辦法:下載SQLite 3.26.0壓縮檔,參考https://www.sqlite.org/download.html。

資料來源:

回到頂端