數(shù)據(jù)庫引擎是用于存儲��、處理和保護(hù)數(shù)據(jù)的核心服務(wù)���。正因?yàn)樗菙?shù)據(jù)庫的核心服務(wù)����,一旦出現(xiàn)高危漏洞����,往往帶來的危害也是巨大的,例如�����,通過漏洞篡改數(shù)據(jù)庫中的數(shù)據(jù)�,甚至是獲取到數(shù)據(jù)庫服務(wù)器權(quán)限��,所以數(shù)據(jù)庫引擎的安全問題是數(shù)據(jù)庫安全防護(hù)中的重要一部分。
數(shù)據(jù)庫引擎是數(shù)據(jù)庫中相當(dāng)復(fù)雜的軟件部分����,它囊括了能夠保證數(shù)據(jù)庫高效平穩(wěn)運(yùn)行的所必需的多種不同處理邏輯和過程,同時(shí)還包含實(shí)現(xiàn)與用戶交互的大量部件�����,包括語法分析器和優(yōu)化器��,以及讓用戶創(chuàng)建程序在數(shù)據(jù)庫內(nèi)部執(zhí)行的運(yùn)行環(huán)境(pl/sql)��。由于設(shè)計(jì)的邏輯過于復(fù)雜�,程序中出現(xiàn)的設(shè)計(jì)錯誤往往會成為安全漏洞,且易于被入侵者利用�����。這類漏洞包括從恰當(dāng)?shù)氖跈?quán)驗(yàn)證到允許攻擊者獲取數(shù)據(jù)庫所有控制權(quán)的緩沖區(qū)溢出�,這類程序設(shè)計(jì)錯誤造成的漏洞非常難以防護(hù)。
其中較為有代表性的是2007年7月Oracle的一個錯誤授權(quán)驗(yàn)證漏洞���。該漏洞允許被篡改的SQL語句繞過執(zhí)行用戶被授權(quán)的權(quán)限�,能夠在沒有相應(yīng)權(quán)限的情況下�,對數(shù)據(jù)表執(zhí)行更新��、插入和刪除操作�。
Creat view em_em as
Select e1.ename,e1.empno,e1.deptno
From scott.emp e1,scott.emp e2
Where e1.empno=e2.empno;
Delete from em_em;
SQL SERVER 2005的cve-2008-0107也是這種類型的漏洞�。該漏洞允許攻擊者通過整數(shù)形緩沖區(qū)溢出漏洞控制SQL SERVER所在服務(wù)器。
在數(shù)據(jù)庫安全防護(hù)過程中�,針對這種漏洞安華金和建議數(shù)據(jù)庫使用者,在出現(xiàn)數(shù)據(jù)庫引擎漏洞的時(shí)候����,應(yīng)該及時(shí)安裝數(shù)據(jù)庫最新補(bǔ)丁,如果因?yàn)槟撤N原因無法及時(shí)打補(bǔ)丁���,也請使用VPATCH功能的數(shù)據(jù)庫防火墻保護(hù)數(shù)據(jù)庫安全�����。
產(chǎn)品咨詢:4000 258 365 
