Die gemeinfreie SQL-Programmbibliothek SQLite hat mindestens zwei Versionen, die eine Schwachstelle aufweisen, die Angreifer für die Codeausführung aus der Ferne missbrauchen könnten. Das Sicherheitsrisiko hat Ciscos "Talos Security Intelligence and Research Group" in einem Blogeintrag als "kritisch" (CVSS-v3-Score 8.1) bewertet, die Schwachstelle im Detail beschrieben und Proof-of-Concept-Code veröffentlicht.

Das Forscherteam hatte die Schwachstelle bereits im Februar gemeldet, wie aus dem Eintrag hervorgeht. Das SQLite-Team veröffentlichte Ende März eine abgesicherte Version. Durch Cisco folgte nun das Public Release der Schwachstelle.

Ihren Proof-of-Concept haben die Forscher an den SQLite-Versionen 3.26.0 und 3.27.0 getestet und führen diese in ihrer Beschreibung als verwundbar auf. Aus dem Blogeintrag geht nicht hervor, ob auch ältere Versionen betroffen sein könnten.

Künftig sollten Softwareentwickler sicherstellen, dass sie die aktuelle Version 3.28.0 von SQLite in ihren Projekten verwenden und wo nötig, Sicherheitsupdates an die Endanwender verteilen.

Die Schwachstellen-Kennung CVE-2019-5018 können Anwender wiederum zur Recherche nach Updates nutzen. Bislang gibt es Veröffentlichungen zu potenziell verwundbaren sqlite3-Packages für die Linux-Distributionen SUSE (nicht betroffen), Debian und Ubuntu.

(jf, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE