CVE-2019-5018:Sqlite3 远程代码执行漏洞

ang010ela 漏洞 2019年5月14日发布
Favorite收藏

导语:研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞,通过恶意SQL命令触发该漏洞可导致远程代码执行。

概述

研究人员发现在Sqlite3 3.26.0的Windows函数功能中存在UAF漏洞。通过特殊伪造的SQL命令可以产生该UAF漏洞,导致远程代码执行。攻击者可以发送恶意SQL命令来触发该漏洞。

研究人员在SQLite 3.26.0和3.27.0版本上进行了测试。

CVSSv3评分为8.1分,漏洞类型为UAF。

漏洞详情

SQLite是实现SQL数据库引擎的常用库函数,被广泛应用于移动设备、浏览器、硬件设备、用户应用中。也是小型、快速、可靠数据库解决方案的常用选择。

SQLite实现了SQL的Window Functions特征,允许对行的子集(Subset、window)进行查询。通过分析含有Window函数的SELECT语句,SELECT语句就会使用sqlite3WindowRewrite函数进行转化。

image.png

在该函数中,如果使用了聚合函数(COUNT, MAX, MIN, AVG, SUM),SELECT对象的表达式列表就会被重写。

image.png

Master Window对象 pMWin 是从SELECT对象中取出的,在重写过程中也用到了。这一过程是为了使其处理window函数进行容易。

image.png

Master window对象是在WindowRewrite对象中使用的。在处理每个表达式过程中,xExprCallback函数会用作处理的回调函数。在处理聚合函数(TKAGGFUNCTION)和添加到表达式列表中后,表达式就会被删除。

image.png

在表达式删除期间,如果表达式被标记为window function,相关的window对象也会被删除。

image.png

在 Window删除期间,与Window相关的部分都被删除了。

image.png

可以看一下原始的sqlite3WindowRewrite函数,删除的部分在表达式列表被重写后重用了。

image.png

这部分被删除后,会在exprListAppendList中被重用,导致UAF漏洞,最终引发DOS。如果攻击者可以控制释放后的内存,那么就可以破坏更多的数据,有可能导致代码执行。

调试信息

使用sqlite3 debug版本来破坏释放的缓存的内容可以证明该漏洞的存在。监控0xfafafafafafafafa附近的调试可以说明释放的缓存正在被再次访问。

image.png

通过gdb sqlite3运行POC:

image.png

image.png

PoC利用

可以使用sqlite3 shell运行POC:

./sqlite3 -init poc
本文翻译自:https://www.talosintelligence.com/vulnerability_reports/TALOS-2019-0777如若转载,请注明原文地址: https://www.4hou.com/vulnerable/17979.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论