【漏洞预警】SQLite 远程代码执行漏洞(CVE-2019-5018)

发布时间 2019-05-11

01背景描述



SQLite 3.28.0修复了由思科Talos发现并报告的远程代码执行漏洞(CVE-2019-5018)。


02影响范围



CVE ID  :   CVE-2019-5018    
漏洞等级:   高危
影响范围:   SQLite 3.26.0、3.27.0
CVSS评分:   8.1


03漏洞详情



SQLite 3.26.0的窗口函数中存在可被利用的use-after-free漏洞,攻击者可通过发送恶意SQL命令来触发此漏洞,导致远程代码执行。


具体细节为,SQLite在对包含窗口函数的SELECT语句进行解析后,使用sqlite3WindowRewrite函数对该SELECT语句进行转换。



在此函数中,如果该SELECT语句包含聚合函数(COUNT,MAX,MIN,AVG,SUM),则重写SELECT对象保存的表达式列表(下图中第[0]行)。


主窗口对象pMWin取自SELECT对象,并在重写期间被使用[1]。遍历SELECT对象的表达式列表,重写窗口函数以便于处理。



注意主窗口对象在WindowRewrite对象中使用。在循环处理每一个表达式时,将xExprCallback函数作为回调函数。当处理聚合函数(TK AGG FUNCTION)后,表达式被删除[2]。



如果被删除的表达式被标记为窗口函数,则也会删除关联的Window对象。



并删除该Window对象关联的分区。


回顾初始的sqlite3WindowRewrite函数,发现该函数在重写表达式列表[4]之后通过exprListAppendList重用这个被删除的分区[5],从而导致use-after-free和拒绝服务。如果攻击者可以控制free后的内存,则可能破坏更多数据,从而导致代码执行。



可以使用Debug版本的sqlite3先清空被free的缓冲区的内容,以更好地进行演示[5]。



通过gdb sqlite3运行PoC,可观察到0xfafafafafafafafa附近发生崩溃,这意味着对已释放的缓冲区的再次访问:


使用sqlite3 shell 运行PoC:



04修复建议



此漏洞已在SQLite 3.28.0中修复。


05参考链接



https://blog.talosintelligence.com/2019/05/vulnerability-spotlight-remote-code.html
https://www.sqlite.org/src/info/884b4b7e502b4e99