數(shù)據(jù)庫(kù)引擎是用于存儲(chǔ)����、處理和保護(hù)數(shù)據(jù)的核心服務(wù)��。正因?yàn)樗菙?shù)據(jù)庫(kù)的核心服務(wù)��,一旦出現(xiàn)高危漏洞�,往往帶來(lái)的危害也是巨大的�,例如,通過(guò)漏洞篡改數(shù)據(jù)庫(kù)中的數(shù)據(jù)�,甚至是獲取到數(shù)據(jù)庫(kù)服務(wù)器權(quán)限,所以數(shù)據(jù)庫(kù)引擎的安全問(wèn)題是數(shù)據(jù)庫(kù)安全防護(hù)中的重要一部分����。
數(shù)據(jù)庫(kù)引擎是數(shù)據(jù)庫(kù)中相當(dāng)復(fù)雜的軟件部分,它囊括了能夠保證數(shù)據(jù)庫(kù)高效平穩(wěn)運(yùn)行的所必需的多種不同處理邏輯和過(guò)程���,同時(shí)還包含實(shí)現(xiàn)與用戶(hù)交互的大量部件����,包括語(yǔ)法分析器和優(yōu)化器����,以及讓用戶(hù)創(chuàng)建程序在數(shù)據(jù)庫(kù)內(nèi)部執(zhí)行的運(yùn)行環(huán)境(pl/sql)�����。由于設(shè)計(jì)的邏輯過(guò)于復(fù)雜,程序中出現(xiàn)的設(shè)計(jì)錯(cuò)誤往往會(huì)成為安全漏洞���,且易于被入侵者利用���。這類(lèi)漏洞包括從恰當(dāng)?shù)氖跈?quán)驗(yàn)證到允許攻擊者獲取數(shù)據(jù)庫(kù)所有控制權(quán)的緩沖區(qū)溢出,這類(lèi)程序設(shè)計(jì)錯(cuò)誤造成的漏洞非常難以防護(hù)�����。
其中較為有代表性的是2007年7月Oracle的一個(gè)錯(cuò)誤授權(quán)驗(yàn)證漏洞���。該漏洞允許被篡改的SQL語(yǔ)句繞過(guò)執(zhí)行用戶(hù)被授權(quán)的權(quán)限���,能夠在沒(méi)有相應(yīng)權(quán)限的情況下,對(duì)數(shù)據(jù)表執(zhí)行更新�����、插入和刪除操作�����。
Creat view em_em as
Select e1.ename,e1.empno,e1.deptno
From scott.emp e1,scott.emp e2
Where e1.empno=e2.empno;
Delete from em_em;
SQL SERVER 2005的cve-2008-0107也是這種類(lèi)型的漏洞�����。該漏洞允許攻擊者通過(guò)整數(shù)形緩沖區(qū)溢出漏洞控制SQL SERVER所在服務(wù)器。
在數(shù)據(jù)庫(kù)安全防護(hù)過(guò)程中���,針對(duì)這種漏洞安華金和建議數(shù)據(jù)庫(kù)使用者����,在出現(xiàn)數(shù)據(jù)庫(kù)引擎漏洞的時(shí)候��,應(yīng)該及時(shí)安裝數(shù)據(jù)庫(kù)最新補(bǔ)丁��,如果因?yàn)槟撤N原因無(wú)法及時(shí)打補(bǔ)丁,也請(qǐng)使用VPATCH功能的數(shù)據(jù)庫(kù)防火墻保護(hù)數(shù)據(jù)庫(kù)安全。
產(chǎn)品咨詢(xún):4000 258 365 
