SQLite3 Window Function 远程代码执行漏洞分析 (CVE-2019-5018)<\/h1>

漏洞概述<\/h2>
CVE-2019-5018是SQLite 3.26.0版本中Windows函数功能存在的一个Use-After-Free (UAF)漏洞。攻击者可以通过构造特殊的SQL命令触发该漏洞，可能导致远程代码执行。该漏洞由Talos团队发现并报告，编号为TALOS-2019-0777。<\/p>

漏洞背景<\/h2>

SQLite是一个广泛使用的轻量级SQL数据库引擎，被应用于：<\/p>

移动设备<\/li>
浏览器<\/li>
硬件设备<\/li>

各种用户应用程序<\/li> <\/ul>

Window Functions是SQL标准中的特性，允许对行的子集(Subset\/window)进行查询操作。<\/p>

漏洞技术细节<\/h2>

漏洞触发流程<\/h3>

初始处理阶段<\/strong>：<\/p>

当SQLite处理包含Window函数的SELECT语句时，会调用sqlite3WindowRewrite<\/code>函数进行转换<\/li>
代码位置：src\/select.c:5643<\/code><\/li> <\/ul> <\/li>
表达式重写过程<\/strong>：<\/p> 如果使用了聚合函数(COUNT, MAX, MIN, AVG, SUM等)，SELECT对象的表达式列表会被重写<\/li> Master Window对象(pMWin<\/code>)从SELECT对象中取出并在重写过程中使用<\/li> <\/ul> <\/li> 回调处理问题<\/strong>：<\/p> 在处理每个表达式时，xExprCallback<\/code>函数作为处理回调<\/li> 处理聚合函数(TK_AGG_FUNCTION)时，表达式会被添加到表达式列表后删除<\/li> 如果表达式被标记为window function，相关的window对象也会被删除<\/li> <\/ul> <\/li> UAF触发点<\/strong>：<\/p> 在sqlite3WindowRewrite<\/code>函数中，删除的部分在表达式列表被重写后被错误地重用<\/li> 关键代码位置：src\/window.c:785<\/code>和src\/window.c:723<\/code><\/li> <\/ul> <\/li> <\/ol> 关键代码分析<\/h3> 表达式删除问题<\/strong>：<\/p> static<\/span> int<\/span> selectWindowRewriteExprCb<\/span>(Walker *<\/span>pWalker, Expr *<\/span>pExpr){ <\/span><\/span> \/\/ ... <\/span><\/span><\/span><\/span> case<\/span> TK_AGG_FUNCTION: <\/span><\/span> case<\/span> TK_COLUMN: { <\/span><\/span> Expr *<\/span>pDup =<\/span> sqlite3ExprDup(pParse-><\/span>db, pExpr, 0<\/span>); <\/span><\/span> p-><\/span>pSub =<\/span> sqlite3ExprListAppend(pParse, p-><\/span>pSub, pDup); <\/span><\/span> if<\/span>( p-><\/span>pSub ){ <\/span><\/span> ExprSetProperty(pExpr, EP_Static); <\/span><\/span> sqlite3ExprDelete(pParse-><\/span>db, pExpr); \/\/ [2] 漏洞点 <\/span><\/span><\/span><\/span> ExprClearProperty(pExpr, EP_Static); <\/span><\/span> memset(pExpr, 0<\/span>, sizeof<\/span>(Expr)); <\/span><\/span> \/\/ ... <\/span><\/span><\/span><\/span> } <\/span><\/span> } <\/span><\/span><\/code><\/pre><\/li> Window对象删除<\/strong>：<\/p> static<\/span> SQLITE_NOINLINE void<\/span> sqlite3ExprDeleteNN<\/span>(sqlite3 *<\/span>db, Expr *<\/span>p){ <\/span><\/span> if<\/span>( !<\/span>ExprHasProperty(p, (EP_TokenOnly|<\/span>EP_Leaf)) ){ <\/span><\/span> if<\/span>( ExprHasProperty(p, EP_WinFunc) ){ <\/span><\/span> assert( p-><\/span>op==<\/span>TK_FUNCTION ); <\/span><\/span> sqlite3WindowDelete(db, p-><\/span>y.pWin); \/\/ 删除关联的Window对象 <\/span><\/span><\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 释放后重用<\/strong>：<\/p> selectWindowRewriteEList(pParse, pMWin, pSrc, p-><\/span>pEList, &<\/span>pSublist); \/\/ [4] <\/span><\/span><\/span><\/span>selectWindowRewriteEList(pParse, pMWin, pSrc, p-><\/span>pOrderBy, &<\/span>pSublist); <\/span><\/span>pMWin-><\/span>nBufferCol =<\/span> (pSublist ?<\/span> pSublist-><\/span>nExpr : 0<\/span>); <\/span><\/span>pSublist =<\/span> exprListAppendList(pParse, pSublist, pMWin-><\/span>pPartition); \/\/ [5] 使用已释放的内存 <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ol> 漏洞验证与利用<\/h2> 崩溃信息分析<\/h3> 使用SQLite3 debug版本可以验证该漏洞：<\/p> 释放的缓存内容会被填充为0xfafafafafafafafa<\/code><\/li> 监控该值附近的崩溃可以证明释放的缓存正在被再次访问<\/li> <\/ul> 调试信息示例：<\/p> [─────────────────────REGISTERS──────────────────────] *RAX 0xfafafafafafafafa ... [───────────────────────DISASM───────────────────────] ► 0x4db723 <exprListAppendList+240> mov eax, dword ptr [rax] <\/code><\/pre> PoC利用<\/h3> 可以使用sqlite3 shell运行PoC：<\/p> .\/sqlite3 -init poc <\/span><\/span><\/code><\/pre>影响范围<\/h2> 受影响版本：<\/p> SQLite 3.26.0<\/li> <\/ul> 不受影响版本：<\/p> SQLite 3.27.0及更高版本<\/li> <\/ul> 修复建议<\/h2> 升级到SQLite 3.27.0或更高版本<\/li> 如果无法升级，可以考虑禁用Window Functions功能<\/li> <\/ol> 技术总结<\/h2> 该漏洞的核心是一个典型的Use-After-Free问题，其根本原因在于：<\/p> 在表达式重写过程中过早释放了Window对象<\/li> 随后又在重写过程中错误地重用了已释放的内存<\/li> 攻击者可以通过精心构造的SQL语句控制释放后的内存内容<\/li> <\/ol> 这种类型的漏洞如果被成功利用，可能导致任意代码执行，危害性极高。对于使用SQLite的应用程序，特别是那些接受用户输入SQL语句的应用，应及时修复此漏洞。<\/p>

SQLite3 Window Function 远程代码执行漏洞分析 (CVE-2019-5018)<\/h1>

漏洞概述<\/h2> CVE-2019-5018是SQLite 3.26.0版本中Windows函数功能存在的一个Use-After-Free (UAF)漏洞。攻击者可以通过构造特殊的SQL命令触发该漏洞，可能导致远程代码执行。该漏洞由Talos团队发现并报告，编号为TALOS-2019-0777。<\/p>

漏洞技术细节<\/h2>

漏洞验证与利用<\/h2>

漏洞概述<\/h2>
CVE-2019-5018是SQLite 3.26.0版本中Windows函数功能存在的一个Use-After-Free (UAF)漏洞。攻击者可以通过构造特殊的SQL命令触发该漏洞，可能导致远程代码执行。该漏洞由Talos团队发现并报告，编号为TALOS-2019-0777。<\/p>