近日安華金和數(shù)據(jù)庫攻防實驗室�����,又發(fā)現(xiàn)了一個DB2數(shù)據(jù)庫漏洞���。
DB2數(shù)據(jù)庫存在執(zhí)行任意代碼漏洞,由不正確的邊界檢查�����,db2pdcfg容易受到基于堆棧的緩沖區(qū)溢出的影響�,允許攻擊者執(zhí)行任意代碼。
漏洞詳情披露如下:
CVEID: CVE-2018-1897 高危
DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer overflow, caused by improper bounds checking which could allow an attacker to execute arbitrary code
CVSS Base Score: 8.4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/152462 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
截至12月份���,2018年全年由安華金和攻防實驗室挖出的數(shù)據(jù)庫漏洞數(shù)量共計22個�����,其中,高危漏洞13個�,中危漏洞9個���;國產(chǎn)數(shù)據(jù)庫漏洞16個,國際數(shù)據(jù)庫漏洞6個�。這些成果的取得是基于強大的攻防研究能力,安華金和一直保持著“以攻促防”的技術(shù)研究思路��,在數(shù)據(jù)安全領(lǐng)域不做被動的規(guī)則響應(yīng)�����,而是主動去解鎖攻擊源頭�����,讓安全防御工事占據(jù)主動地位����,更利于構(gòu)建成熟而高效的防御體系。
數(shù)據(jù)庫安全漏洞的研究將一直貫徹數(shù)據(jù)安全的技術(shù)進階之路���,隨著大數(shù)據(jù)庫時代的到來��,云平臺的流行�����,物聯(lián)網(wǎng)的興起����,數(shù)據(jù)庫的應(yīng)用范圍越來越廣泛,基本上每個領(lǐng)域都能見到數(shù)據(jù)庫的影子�����。從世界500強到各國政府機關(guān)���,數(shù)據(jù)庫在其中扮演著非常重要的角色,很多重要和敏感的信息都保存其中�,例如個人銀行賬號密碼、政府機密資料�����、軍事核心武器設(shè)計圖等����。因此,數(shù)據(jù)庫成為入侵者越來越有價值的攻擊目標(biāo)����,一旦獲得數(shù)據(jù)庫權(quán)限��,入侵者則可以獲得非常有價值的數(shù)據(jù)�。因此�����,確保數(shù)據(jù)庫以及數(shù)據(jù)庫中的數(shù)據(jù)安全至關(guān)重要�����。而數(shù)據(jù)庫漏洞作為外部入侵的薄弱環(huán)節(jié)���,是數(shù)據(jù)泄露的一大重要原因�。因此�,要有針對的加強數(shù)據(jù)庫在某些場景下的安全防護能力�����,否則安全將成為數(shù)據(jù)庫的“阿喀琉斯之踵”���。
產(chǎn)品咨詢:4000 258 365 
