SQLite的安全性并非绝对,警惕潜在风险

发表时间: 2020-07-31 10:37


SQLite


在数据库大家族中,SQLite算是00后,在家族中属于辈分较小的。SQLite从问世到现在处于蓬勃发展阶段,作为20岁的“后浪”,他在功能上可以支持大多数SQL标准,实现自给自足的、无服务器的、零配置的、事务性的SQL数据库引擎,是世界上最广泛部署的数据库引擎之一;在应用上,范围较为广泛,包括网页浏览器、操作系统嵌入式系统、区块链等。

正是因为SQLite数据库的独立性、高可靠性、功能齐全等特点,它成为了攻击者有价值的“猎物”,一旦得逞便会导致服务不可用、交易无法进行等危害。

虽说SQLite是一个很可靠的数据库,但金无足赤。近期,昂楷科技磐石研究院的小伙伴们发现了SQLite的2个高危漏洞,并已被确认。


高危漏洞


CVE漏洞列表如下:


CVE漏洞


CVE漏洞


▶漏洞影响

影响范围:SQLite 3.31.1

该漏洞属于拒接服务漏洞,攻击者可通过发送恶意SQL命令来触发此漏洞,一旦利用了漏洞,使得SQLite无法工作,从而影响上层软件的正常运行。

▶防范措施

目前,官方已经Fix相关漏洞,请及时更新SQLite版本,做出及时应对,避免漏洞带来的不必要麻烦。


一、科普时刻

▶CVE漏洞

CVE (Common Vulnerabilities & Exposures,通用漏洞披露),CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表。

它作用是可以帮助 IT 专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性。

CVE 条目非常简短,条目中既没有技术数据,也不包含与风险、影响和修复有关的信息。


▶拒接服务攻击

拒绝服务攻击(Denial of service)即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。

拒绝服务攻击的危害是:恶意消耗目标主机的通信带宽资源、CPU资源、内存资源,使得目标主机的通信能力、处理能力不断下降、甚至是处于拒绝服务状态或死机状态。


二、磐石研究院

“兵在精而不在多,将在谋而不在勇”。

磐石研究院是昂楷最神秘、最核心的部门,是由一群精兵干将、安全老兵组成的,一直致力于传统数据库、大数据库、工控数据库、区块链等领域内安全漏洞的挖掘、攻防技术、安全防护技术研究,为昂楷产品赋予强大的安全能力,具备前沿性,提前预知未来,通过不断创新迭代为昂楷输出领先的数据库安全产品。

为了持续丰富公司人才储备,为企业注入新力量,打造企业核心竞争力,磐石研究院正在招一起战斗的伙伴,如果你也对漏洞、安全产品非常感兴趣,欢迎加入我们,我们会一“职”等你来。