Vulnerabilità: CVE-2020-26273

osquery è una strumentazione sistema operativo SQL alimentato, monitoraggio e analisi quadro. In osquery prima della versione 4.6.0, utilizzando di SQLite ATTACH verbo, qualcuno con accesso amministrativo al osquery può causare legge e scrive su database SQLite arbitrari su disco. Questo permette _does_ file arbitrari da creare, ma saranno database SQLite. Non sembra consentire ai file non SQLite esistenti per essere sovrascritto. Questo è stato aggiornato in osquery 4.6.0. Ci sono diversi fattori attenuanti e le possibili soluzioni. In alcune distribuzioni, le persone con accesso a queste interfacce possono essere amministratori considerate. In alcune distribuzioni, la configurazione è gestita da uno strumento centrale. Questo strumento può filtrare per l’ATTACH` parola chiave `. osquery può essere eseguito come utente non root. Poiché questo limita anche i livelli di accesso desiderati, questo richiede l’implementazione di test e configurazione specifica.


https://github.com/osquery/osquery/security/advisories/GHSA-4g56-2482-x7q8
https://github.com/osquery/osquery/security/advisories/GHSA-4g56-2482-x7q8
https://github.com/osquery/osquery/commit/c3f9a3dae22d43ed3b4f6a403cbf89da4cba7c3c
https://github.com/osquery/osquery/commit/c3f9a3dae22d43ed3b4f6a403cbf89da4cba7c3c
https://github.com/osquery/osquery/releases/tag/4.6.0
https://github.com/osquery/osquery/releases/tag/4.6.0
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/SQLite%20Injection.md#remote-command-execution-using-sqlite-command—load_extension
https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/SQL%20Injection/SQLite%20Injection.md#remote-command-execution-using-sqlite-command—load_extension
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26273


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi