1. 程式人生 > >漏洞預警:DB2資料庫存在執行任意程式碼漏洞

漏洞預警:DB2資料庫存在執行任意程式碼漏洞

近日安華金和資料庫***實驗室,又發現了一個DB2資料庫漏洞。

DB2資料庫存在執行任意程式碼漏洞,由不正確的邊界檢查,db2pdcfg容易受到基於堆疊的緩衝區溢位的影響,允許***者執行任意程式碼。

 01.png

漏洞詳情披露如下:

CVEID: CVE-2018-1897 高危

DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer overflow, caused by improper bounds checking which could allow an attacker to execute arbitrary code

CVSS Base Score: 8.4

CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/152462 for the current score

CVSS Environmental Score*: Undefined

CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

截至12月份,2018年全年由安華金和***實驗室挖出的資料庫漏洞數量共計22個,其中,高危漏洞13個,中危漏洞9個;國產資料庫漏洞16個,國際資料庫漏洞6個。這些成果的取得是基於強大的***研究能力,安華金和一直保持著“以攻促防”的技術研究思路,在資料安全領域不做被動的規則響應,而是主動去解鎖***源頭,讓安全防禦工事佔據主動地位,更利於構建成熟而高效的防禦體系。

資料庫安全漏洞的研究將一直貫徹資料安全的技術進階之路,隨著大資料庫時代的到來,雲平臺的流行,物聯網的興起,資料庫的應用範圍越來越廣泛,基本上每個領域都能見到資料庫的影子。從世界500強到各國政府機關,資料庫在其中扮演著非常重要的角色,很多重要和敏感的資訊都儲存其中,例如個人銀行賬號密碼、政府機密資料、軍事核心武器設計圖等。因此,資料庫成為***者越來越有價值的***目標,一旦獲得資料庫許可權,***者則可以獲得非常有價值的資料。因此,確保資料庫以及資料庫中的資料安全至關重要。而資料庫漏洞作為外部***的薄弱環節,是資料洩露的一大重要原因。因此,要有針對的加強資料庫在某些場景下的安全防護能力,否則安全將成為資料庫的“阿喀琉斯之踵”。