关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


没有绝对的安全,SQLite也不例外

2020-07-31 10:59 推荐: 浏览: 59字号:

摘要: 在数据库大家族中,SQLite算是00后,在家族中属于辈分较小的。SQLite从问世到现在处于蓬勃发展阶段,作为20岁的“后浪”,他在功能上可以支持大多数SQL标准,实现自给自足的、无服务器的、零配置的、事务性的SQL数据库引擎,是世界上最广泛部署的数据库引擎...

在数据库大家族中,SQLite算是00后,在家族中属于辈分较小的。SQLite从问世到现在处于蓬勃发展阶段,作为20岁的“后浪”,他在功能上可以支持大多数SQL标准,实现自给自足的、无服务器的、零配置的、事务性的SQL数据库引擎,是世界上最广泛部署的数据库引擎之一;在应用上,范围较为广泛,包括网页浏览器、操作系统、嵌入式系统、区块链等。

正是因为SQLite数据库的独立性、高可靠性、功能齐全等特点,它成为了攻击者有价值的“猎物”,一旦得逞便会导致服务不可用、交易无法进行等危害。

虽说SQLite是一个很可靠的数据库,但金无足赤。近期,昂楷科技磐石研究院的小伙伴们发现了SQLite的2个高危漏洞,并已被确认。

漏洞影响

影响范围:SQLite 3.31.1

该漏洞属于拒接服务漏洞,攻击者可通过发送恶意SQL命令来触发此漏洞,一旦利用了漏洞,使得SQLite无法工作,从而影响上层软件的正常运行。

防范措施

目前,官方已经Fix相关漏洞,请及时更新SQLite版本,做出及时应对,避免漏洞带来的不必要麻烦。

一、科普时刻

CVE漏洞

CVE (Common Vulnerabilities & Exposures,通用漏洞披露),CVE 是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表。

它作用是可以帮助 IT 专业人员协调自己的工作,轻松地确定漏洞的优先级并加以处理,从而提高计算机系统的安全性。

CVE 条目非常简短,条目中既没有技术数据,也不包含与风险、影响和修复有关的信息。

拒接服务攻击 

拒绝服务攻击(Denial of service)即是攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。

拒绝服务攻击的危害是:恶意消耗目标主机的通信带宽资源、CPU资源、内存资源,使得目标主机的通信能力、处理能力不断下降、甚至是处于拒绝服务状态或死机状态。

二、磐石研究院

“兵在精而不在多,将在谋而不在勇”。

磐石研究院是昂楷最神秘、最核心的部门,是由一群精兵干将、安全老兵组成的,一直致力于传统数据库、大数据库、工控数据库、区块链等领域内安全漏洞的挖掘、攻防技术、安全防护技术研究,为昂楷产品赋予强大的安全能力,具备前沿性,提前预知未来,通过不断创新迭代为昂楷输出领先的数据库安全产品。

为了持续丰富公司人才储备,为企业注入新力量,打造企业核心竞争力,磐石研究院正在招一起战斗的伙伴,如果你也对漏洞、安全产品非常感兴趣,欢迎加入我们,我们会一“职”等你来。

联系站长租广告位!

中国首席信息安全官
Copy link