DB2又爆3個高危漏洞

安華金和***實驗室再傳重要訊息：繼連續挖到數個informix、DB2國際資料庫資料庫漏洞，近期又拿下4個IBM DB2資料庫漏洞，獲得CVE認證，並得到IBM確認。其中，3個高危漏洞和1箇中危漏洞。3個高危漏洞屬於許可權提升漏洞，可以使許可權從普通資料庫使用者提升到作業系統最高許可權。

目前，IBM官方已經給出受影響產品版本和補救措施，請根據以下分享的漏洞詳情連結，做出及時應對。漏洞列表如下：

CVEID: CVE-2018-1780 高危
DESCRIPTION: IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) could allow a local db2 instance owner to obtain root access by exploiting a symbolic link attack to read/write/corrupt a file that they originally did not have permission to access.

CVEID: CVE-2018-1781 高危

DESCRIPTION: IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) could allow a local user to obtain root access by exploiting a symbolic link attack to read/write/corrupt a file that they originally did not have permission to access.

CVEID: CVE-2018-1834 高危
DESCRIPTION: IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) contains a vulnerability that could allow a local user to escalate their privileges to root through a symbolic link attack.

CVEID: CVE-2018-1799 中危
DESCRIPTION: IBM DB2 could allow a local unprivileged user to overwrite files on the system which could cause damage to the database.
CVSS Base Score: 6.2
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/149429 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)

近兩年，安華金和在國際資料庫漏洞挖掘領域展現出深厚功底，釋放出穩健而強有力的***研究能力。資料庫漏洞挖掘哪家強？安華金和就不謙虛了，畢竟這是安全行業為國爭光的大好訊息，不斷證明國內安全***研究的水平提升。

瞭解更多

DBSec Labs

安華金和資料庫***實驗室（DBSec Labs）自2010年11月立以來，專注安全***技術研究及漏洞挖掘工作，是我國一支獨立的、持久的針對資料庫安全漏洞、資料庫***技術模擬和資料庫安全防護技術進行研究的專業隊伍。國家資訊保安漏洞庫（CNNVD）2017年釋出的最新一批技術支撐合作計劃成員名單，安華金和被正式授予CNNVD技術支撐單位。實驗室始終秉承著“以攻促防”的技術理念，將研究成果融入到安華金和的資料庫安全產品系列中。不斷挖掘出國際資料庫漏洞也見證了安華金和在國內資料庫安全領域的技術研究實力。

DB2

IBM公司開發的一套關係型資料庫管理系統主要應用於大型應用系統，具有較好的可伸縮性，可支援從大型機到單使用者環境，應用於所有常見的伺服器作業系統平臺下。憑藉著良好的併發性、穩定性、擴充套件性，DB2受到各行各業的青睞，尤其廣泛應用於金融行業， 漏洞的存在可能導致關鍵業務系統的資料庫安全風險，請相關使用者及時檢查並更新版本。

CVE

國際著名的安全漏洞庫，也是對已知漏洞和安全缺陷的標準化名稱的列表，它是一個由企業界、政府界和學術界綜合參與的國際性組織，採取一種非盈利的組織形式，其使命是為了能更加快速而有效地鑑別、發現和修復軟體產品的安全漏洞。