近日安華金和資料庫***實驗室，又發現了一個DB2資料庫漏洞。

DB2資料庫存在執行任意程式碼漏洞，由不正確的邊界檢查，db2pdcfg容易受到基於堆疊的緩衝區溢位的影響，允許***者執行任意程式碼。

漏洞詳情披露如下：

CVEID: CVE-2018-1897 高危

DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer overflow, caused by improper bounds checking which could allow an attacker to execute arbitrary code

CVSS Base Score: 8.4

CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/152462 for the current score

CVSS Environmental Score*: Undefined

CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

截至12月份，2018年全年由安華金和***實驗室挖出的資料庫漏洞數量共計22個，其中，高危漏洞13個，中危漏洞9個；國產資料庫漏洞16個，國際資料庫漏洞6個。這些成果的取得是基於強大的***研究能力，安華金和一直保持著“以攻促防”的技術研究思路，在資料安全領域不做被動的規則響應，而是主動去解鎖***源頭，讓安全防禦工事佔據主動地位，更利於構建成熟而高效的防禦體系。

資料庫安全漏洞的研究將一直貫徹資料安全的技術進階之路，隨著大資料庫時代的到來，雲平臺的流行，物聯網的興起，資料庫的應用範圍越來越廣泛，基本上每個領域都能見到資料庫的影子。從世界500強到各國政府機關，資料庫在其中扮演著非常重要的角色，很多重要和敏感的資訊都儲存其中，例如個人銀行賬號密碼、政府機密資料、軍事核心武器設計圖等。因此，資料庫成為***者越來越有價值的***目標，一旦獲得資料庫許可權，***者則可以獲得非常有價值的資料。因此，確保資料庫以及資料庫中的資料安全至關重要。而資料庫漏洞作為外部***的薄弱環節，是資料洩露的一大重要原因。因此，要有針對的加強資料庫在某些場景下的安全防護能力，否則安全將成為資料庫的“阿喀琉斯之踵”。