近日安華金和數(shù)據(jù)庫攻防實(shí)驗室,又發(fā)現(xiàn)了一個DB2數(shù)據(jù)庫漏洞����。
DB2數(shù)據(jù)庫存在執(zhí)行任意代碼漏洞��,由不正確的邊界檢查�,db2pdcfg容易受到基于堆棧的緩沖區(qū)溢出的影響��,允許攻擊者執(zhí)行任意代碼。
漏洞詳情披露如下:
CVEID: CVE-2018-1897 高危
DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer overflow, caused by improper bounds checking which could allow an attacker to execute arbitrary code
CVSS Base Score: 8.4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/152462 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
截至12月份����,2018年全年由安華金和攻防實(shí)驗室挖出的數(shù)據(jù)庫漏洞數(shù)量共計22個,其中����,高危漏洞13個��,中危漏洞9個;國產(chǎn)數(shù)據(jù)庫漏洞16個�,國際數(shù)據(jù)庫漏洞6個����。這些成果的取得是基于強(qiáng)大的攻防研究能力,安華金和一直保持著“以攻促防”的技術(shù)研究思路��,在數(shù)據(jù)安全領(lǐng)域不做被動的規(guī)則響應(yīng)����,而是主動去解鎖攻擊源頭,讓安全防御工事占據(jù)主動地位�����,更利于構(gòu)建成熟而高效的防御體系�����。
數(shù)據(jù)庫安全漏洞的研究將一直貫徹數(shù)據(jù)安全的技術(shù)進(jìn)階之路���,隨著大數(shù)據(jù)庫時代的到來,云平臺的流行���,物聯(lián)網(wǎng)的興起����,數(shù)據(jù)庫的應(yīng)用范圍越來越廣泛,基本上每個領(lǐng)域都能見到數(shù)據(jù)庫的影子����。從世界500強(qiáng)到各國政府機(jī)關(guān),數(shù)據(jù)庫在其中扮演著非常重要的角色���,很多重要和敏感的信息都保存其中���,例如個人銀行賬號密碼、政府機(jī)密資料����、軍事核心武器設(shè)計圖等。因此��,數(shù)據(jù)庫成為入侵者越來越有價值的攻擊目標(biāo)�����,一旦獲得數(shù)據(jù)庫權(quán)限�,入侵者則可以獲得非常有價值的數(shù)據(jù)。因此,確保數(shù)據(jù)庫以及數(shù)據(jù)庫中的數(shù)據(jù)安全至關(guān)重要�����。而數(shù)據(jù)庫漏洞作為外部入侵的薄弱環(huán)節(jié)�����,是數(shù)據(jù)泄露的一大重要原因�����。因此���,要有針對的加強(qiáng)數(shù)據(jù)庫在某些場景下的安全防護(hù)能力��,否則安全將成為數(shù)據(jù)庫的“阿喀琉斯之踵”�。
產(chǎn)品咨詢:4000 258 365 
