Menü
Avatar von Valentin Hilbig
  • Valentin Hilbig

mehr als 1000 Beiträge seit 08.01.2000

Versionen vor 3.25.0 wohl nicht betroffen: Fehler ist im "WINDOW"-Feature

Im CVE ist aufgeführt, dass sich der Fehler im Bereich der "Window"-Funktion befindet. Das ist ein recht neues Feature, das in der 3.25.0 eingeführt wurde:

https://news.ycombinator.com/item?id=17764340

Nicht betroffen ist also Software, die die WINDOW-Funktion nicht nutzt. Das dürfte sehr viel sein, außer sie hat eine SQL-Injection-Schwachstelle - aber das ist dann ein ganz anderer Fehler.

Und weiterhin nicht betroffen ist Software, die zwar die WINDOW-Funktion nutzt, aber es dem Angreifer nicht erlaubt, die Daten zu manipulieren, so dass es nicht ausnutzbar ist. (Sorry, aber so tief, wie das dann genau ausnutzbar sein könnte, habe ich jetzt mal nicht gegraben.)

Sprich:

Betroffen sind also vor allem so Dinge wie WebSQL, wenn also SQL-Statements "von außen" verwendet werden können. WebSQL ist aber ohnehin Deprecated, also wäre das Abschalten davon kein großer Verlust.

Also, keine Panik. Die heimischen Scripts und die meisten Dinge die SQLite als Backend verwenden sind von dem Problem gar nicht betroffen.

-Tino
PS: Warnung! Ich kann mich mit meiner Einschätzung natürlich auch irren!

Das Posting wurde vom Benutzer editiert (13.05.2019 18:21).

Bewerten
- +
Anzeige