Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Уязвимость в СУБД SQLite" | +/– | |
Сообщение от opennews (?), 09-Май-19, 21:32 | ||
В СУБД SQLite выявлена (https://blog.talosintelligence.com/2019/05/vulnerability-spo... уязвимость (https://www.talosintelligence.com/vulnerability_reports/TALO... (CVE-2019-5018), позволяющая выполнить свой код в системе при наличии возможности выполнения SQL-запроса, подготовленного злоумышленником. Проблема вызвана ошибкой в реализации оконных функций и проявляется начиная с ветки SQLite 3.26 (https://www.opennet.me/opennews/art.shtml?num=49282). Уязвимость устранена (https://www.sqlite.org/src/info/884b4b7e502b4e99) в апрельском выпуске SQLite 3.28 (https://sqlite.org/releaselog/3_28_0.html) без явного упоминания об исправлении проблем с безопасностью. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от OpenEcho (?), 09-Май-19, 21:32 | ||
DROP Chromium WHERE WebSQL NOT NULL; | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от пох (?), 09-Май-19, 21:54 | ||
ну и зачем ты все испортил? Я ж уже 2 монеры намайнил! | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Уязвимость в СУБД SQLite" | +4 +/– | |
Сообщение от Аноне (?), 10-Май-19, 08:58 | ||
Не поможет. Drop удаляет объект безусловно и коммит не нужен. И IS not null | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
22. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от OpenEcho (?), 10-Май-19, 14:12 | ||
Ну тогда мы нашли еще один баг, потому как | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от . (?), 10-Май-19, 16:53 | ||
это не баг, это фича simplified syntax, кажется, даже где-то описанная. | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Уязвимость в СУБД SQLite" | –1 +/– | |
Сообщение от OpenEcho (?), 10-Май-19, 19:56 | ||
Да блин, вы правда не понимаете что должно было бы стоять вместо COMMIT если бы не модерация? | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Уязвимость в СУБД SQLite" | –15 +/– | |
Сообщение от Аноним (2), 09-Май-19, 21:45 | ||
Весьма типичная проблема устаревших языков, к сожалению. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Уязвимость в СУБД SQLite" | +15 +/– | |
Сообщение от конь в пальто (?), 09-Май-19, 21:54 | ||
весьма типичный комментарий юных падаванов | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Уязвимость в СУБД SQLite" | –1 +/– | |
Сообщение от trdm (ok), 09-Май-19, 23:51 | ||
Анонимное комментирование и отсутствие бан-листа - зло и неудобство. | ||
Ответить | Правка | Наверх | Cообщить модератору |
19. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от Аноним (-), 10-Май-19, 10:22 | ||
Да, надо как в Белоруссии. Ишь, воду баламутят. | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Уязвимость в СУБД SQLite" | –2 +/– | |
Сообщение от Иваныч (??), 10-Май-19, 23:13 | ||
Беларусь, Беларуси. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от Аноним (25), 10-Май-19, 16:58 | ||
SQL тебя переживет еще | ||
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору |
4. "Уязвимость в СУБД SQLite" | –1 +/– | |
Сообщение от mumu (ok), 09-Май-19, 21:54 | ||
> Например, потенциально атака может быть совершена на браузер Chrome и приложения, использующие движок Chromium | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Уязвимость в СУБД SQLite" | –5 +/– | |
Сообщение от пох (?), 09-Май-19, 21:58 | ||
там понадобится вторая уязвимость, которую тебе, о йуный друг, еще предстоит найти. | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от 1 (??), 09-Май-19, 23:09 | ||
>новый стандарт. | ||
Ответить | Правка | Наверх | Cообщить модератору |
23. "Уязвимость в СУБД SQLite" | +2 +/– | |
Сообщение от анонн (?), 10-Май-19, 14:43 | ||
>>новый стандарт. | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Уязвимость в СУБД SQLite" | +4 +/– | |
Сообщение от Аноним (11), 10-Май-19, 00:24 | ||
Проще сказать где SQLite не используется. Он везде. От телефонов до ПК | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
7. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от kai3341 (ok), 09-Май-19, 22:54 | ||
> Специально оформленный SQL-запрос SELECT может привести к обращению к уже освобождённой области памяти | ||
Ответить | Правка | Наверх | Cообщить модератору |
14. "Уязвимость в СУБД SQLite" | +3 +/– | |
Сообщение от Аноним (14), 10-Май-19, 03:45 | ||
В Chromium любой сайт может выполнять запросы к его внутренней SQLite DB. | ||
Ответить | Правка | Наверх | Cообщить модератору |
15. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от kai3341 (ok), 10-Май-19, 04:06 | ||
В поисках пруфов нарвался на игрушку https://github.com/kripken/sql.js | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от Аноним84701 (ok), 10-Май-19, 12:56 | ||
> hint: ещё пару лет назад sqlite в chromium была задепрекейчена. У меня | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от th3m3 (ok), 09-Май-19, 23:20 | ||
Получается, что и всякое УГ на Электроне, тоже в зоне риска. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Уязвимость в СУБД SQLite" | –1 +/– | |
Сообщение от ................. (?), 10-Май-19, 03:28 | ||
Net. | ||
Ответить | Правка | Наверх | Cообщить модератору |
18. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от JL2001 (ok), 10-Май-19, 09:57 | ||
> Получается, что и всякое УГ на Электроне, тоже в зоне риска. | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
20. "Уязвимость в СУБД SQLite" | –1 +/– | |
Сообщение от пох (?), 10-Май-19, 10:25 | ||
>> Получается, что и всякое УГ на Электроне, тоже в зоне риска. | ||
Ответить | Правка | Наверх | Cообщить модератору |
27. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от Kuromi (ok), 10-Май-19, 22:38 | ||
"Например, потенциально атака может быть совершена на браузер Chrome и приложения, использующие движок Chromium, так как API WebSQL реализован поверх SQLite и обращается к данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium." | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от OpenEcho (?), 12-Май-19, 12:13 | ||
> Тот самый WebSQL который не был признан никем кроме Хрома, исключен из | ||
Ответить | Правка | Наверх | Cообщить модератору |
31. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от Аноним84701 (ok), 12-Май-19, 13:20 | ||
> Винить надо рукожопых JS-девелоперов позволяющих использовать даные от юзера без валидации: | ||
Ответить | Правка | Наверх | Cообщить модератору |
32. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от OpenEcho (?), 12-Май-19, 15:58 | ||
>> Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium. | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Уязвимость в СУБД SQLite" | +1 +/– | |
Сообщение от Kuromi (ok), 10-Май-19, 22:40 | ||
"Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка Chromium." | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Уязвимость в СУБД SQLite" | +/– | |
Сообщение от пох (?), 12-Май-19, 21:52 | ||
а для извращенцев предусмотреть огромный баннер "этот сайт работает только в хроме, хроме и хроме последней версии". Сами и запустят что надо. | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |