數(shù)據(jù)庫引擎是用于存儲����、處理和保護數(shù)據(jù)的核心服務(wù)。正因為它是數(shù)據(jù)庫的核心服務(wù)�,一旦出現(xiàn)高危漏洞,往往帶來的危害也是巨大的���,例如���,通過漏洞篡改數(shù)據(jù)庫中的數(shù)據(jù),甚至是獲取到數(shù)據(jù)庫服務(wù)器權(quán)限�,所以數(shù)據(jù)庫引擎的安全問題是數(shù)據(jù)庫安全防護中的重要一部分。
數(shù)據(jù)庫引擎是數(shù)據(jù)庫中相當(dāng)復(fù)雜的軟件部分�,它囊括了能夠保證數(shù)據(jù)庫高效平穩(wěn)運行的所必需的多種不同處理邏輯和過程,同時還包含實現(xiàn)與用戶交互的大量部件��,包括語法分析器和優(yōu)化器����,以及讓用戶創(chuàng)建程序在數(shù)據(jù)庫內(nèi)部執(zhí)行的運行環(huán)境(pl/sql)。由于設(shè)計的邏輯過于復(fù)雜��,程序中出現(xiàn)的設(shè)計錯誤往往會成為安全漏洞,且易于被入侵者利用�����。這類漏洞包括從恰當(dāng)?shù)氖跈?quán)驗證到允許攻擊者獲取數(shù)據(jù)庫所有控制權(quán)的緩沖區(qū)溢出�,這類程序設(shè)計錯誤造成的漏洞非常難以防護。
其中較為有代表性的是2007年7月Oracle的一個錯誤授權(quán)驗證漏洞���。該漏洞允許被篡改的SQL語句繞過執(zhí)行用戶被授權(quán)的權(quán)限��,能夠在沒有相應(yīng)權(quán)限的情況下�,對數(shù)據(jù)表執(zhí)行更新�����、插入和刪除操作���。
Creat view em_em as
Select e1.ename,e1.empno,e1.deptno
From scott.emp e1,scott.emp e2
Where e1.empno=e2.empno;
Delete from em_em;
SQL SERVER 2005的cve-2008-0107也是這種類型的漏洞���。該漏洞允許攻擊者通過整數(shù)形緩沖區(qū)溢出漏洞控制SQL SERVER所在服務(wù)器。
在數(shù)據(jù)庫安全防護過程中�����,針對這種漏洞安華金和建議數(shù)據(jù)庫使用者,在出現(xiàn)數(shù)據(jù)庫引擎漏洞的時候����,應(yīng)該及時安裝數(shù)據(jù)庫最新補丁���,如果因為某種原因無法及時打補丁��,也請使用VPATCH功能的數(shù)據(jù)庫防火墻保護數(shù)據(jù)庫安全�。
產(chǎn)品咨詢:4000 258 365 
