欧美精品一区二区,体育生GAY白袜调教VIDEO,私人影院播放器,色偷偷AV老熟女色欲涩爱

?
新聞中心
專業(yè)的數(shù)據(jù)安全產(chǎn)品及解決方案提供商
安華金和數(shù)據(jù)庫攻防實驗室再發(fā)現(xiàn)Informix數(shù)據(jù)庫高危漏洞
作者:安華金和 發(fā)布時間:2017-09-13

日前,由安華金和數(shù)據(jù)庫攻防實驗室(DBSLab)提交的又一國際數(shù)據(jù)庫漏洞獲得CVE認證,編號:CVE-2017-1508。該漏洞同樣來自IBM旗下數(shù)據(jù)庫品牌Informix數(shù)據(jù)庫,目前IBM已確認該漏洞并發(fā)布更新版本。這是繼CVE-2017-1310之后,安華金和提交并獲認證的第2個國際數(shù)據(jù)庫漏洞。

CVE對此漏洞評分為6.7分,屬中高危等級。通過利用此漏洞,黑客可以將普通的數(shù)據(jù)庫用戶權(quán)限提升至root權(quán)限,取得訪問和修改所有文件和數(shù)據(jù)的最高權(quán)限后,進一步控制服務(wù)器。Informix數(shù)據(jù)庫在大型銀行、保險公司、電信運營商等行業(yè)用戶中廣泛應(yīng)用,漏洞的存在可能導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫安全風(fēng)險,請相關(guān)用戶及時檢查并更新版本。

漏洞詳情

1、數(shù)據(jù)庫所屬廠商

IBM

2、發(fā)現(xiàn)漏洞的數(shù)據(jù)庫版本

涉及Informix 12.10.FC1—FC9最新版

3、漏洞描述

類型:本地提權(quán)型漏洞

威脅程度:CVSS Base Score: 6.7

漏洞ID:CVE-2017-1508

漏洞形成原理:

1.目前大多數(shù)主流數(shù)據(jù)庫, 包括Oracle、 MySQL、 Informix、DB2等都需要root用戶安裝,這樣就有可能進一步生成具備root特權(quán)的文件,生成root進程。

2.Informix 安裝過程中產(chǎn)生了具備root特權(quán)的主執(zhí)行文件,這個文件可以在Informix普通用戶的權(quán)限下,以root身份進行操作。

3.Informix 啟動過程中,會在開始階段以root權(quán)限啟動(其他數(shù)據(jù)庫也有類似現(xiàn)象),創(chuàng)建日志文件,然后再切換到Informix用戶,以此來降低權(quán)限,保證安全。

漏洞利用方法:

1.上面我們已經(jīng)提到,Informix在開始階段會以root權(quán)限啟動,然后以root身份創(chuàng)建日志文件,如果在這個時候遭到攻擊,黑客會利用Informix的root權(quán)限,使Informix以root特權(quán)在系統(tǒng)關(guān)鍵位置創(chuàng)建木馬文件,從而使系統(tǒng)內(nèi)所有進程加載黑客代碼。

2. 接下來,黑客通過系統(tǒng)root特權(quán)命令觸發(fā)木馬文件內(nèi)的特權(quán)代碼;

3. 嵌入的黑客代碼將會以root身份創(chuàng)建永久root shell,從而得到永久的root權(quán)限。

影響與危害:

從Informix的數(shù)據(jù)庫設(shè)計原理我們知道,Informix的數(shù)據(jù)庫用戶就是操作系統(tǒng)賬戶(最新版本的Informix, 也沒有從根本上改變這種機制),即數(shù)據(jù)庫普通用戶均可提升為root權(quán)限用戶,獲取最高權(quán)限后能夠訪問和修改數(shù)據(jù)庫中的全部數(shù)據(jù),全面控制服務(wù)器。

該漏洞如果和Informix其他漏洞結(jié)合起來,將造成更為嚴重的影響,比如結(jié)合安華金和前期提交認證的Informix遠程溢出漏洞CVE-2017-1310(此漏洞的破壞結(jié)果表現(xiàn)為:使遠程用戶控制Informix 服務(wù)器,以Informix身份進行攻擊和信息竊取,但還做不到對root用戶數(shù)據(jù)的訪問)。一旦兩個漏洞組合利用,黑客的普通權(quán)限可以提升為root,進而訪問所有文件,最終控制整個操作系統(tǒng)。

此漏洞影響范圍覆蓋Informix 12.10.FC1至FC9全部版本,影響范圍之廣需要引起更多重視。

提醒用戶

基于該漏洞的發(fā)現(xiàn),Informix目前已經(jīng)在新版本中解決了這一漏洞威脅。在此,我們提醒廣大Informix數(shù)據(jù)庫用戶及時升級自己的數(shù)據(jù)庫版本,避免該漏洞可能造成的安全威脅。

在為用戶提供高價值數(shù)據(jù)庫安全產(chǎn)品的同時,安華金和也一直致力于數(shù)據(jù)庫安全漏洞的研究,并始終堅持以“以攻促防”的技術(shù)思路來指導(dǎo)產(chǎn)品研發(fā)和開展數(shù)據(jù)安全業(yè)務(wù)。連續(xù)取得在國際數(shù)據(jù)庫漏洞方面的挖掘成果也見證了我國在數(shù)據(jù)庫漏洞研究領(lǐng)域的能力突破,見證了安華金和在國內(nèi)數(shù)據(jù)庫安全領(lǐng)域的技術(shù)研究實力。

附錄1:

1.jpg


2.jpg

附錄2:

3.jpg

分享到
?
啊灬啊灬啊灬快灬高潮了听书| 99er热精品视频国产免费| 在免费JIZZJIZZ在线播放| 国产古装妇女野外a片| 扒开老师双腿猛进入白浆小说| 又黄又爽又猛1000部a片| 男女吃奶做爰猛烈紧视频| 久久久精品中文字幕麻豆发布| 精品亚洲AV乱码一区二区三区| 双性玩弄调教np产乳孕交灌尿| 国产av国产av在在免费线| 国产精品美女久久久久av爽| 天天躁日日躁狠狠躁午夜剧场| 国产精品人妻一区夜夜爱| 国产特级毛片aaaaaa| 成人毛片18女人毛片免费看视频 | 国产伦精品一区二区三区不卡| 久久久久久精品国产亚洲| 国产精品人人做人人爽人人添| 成人做爰视频www| 30岁少妇一摸就出水| 欧美freese黑又粗又大| 成人片黄网站色大片免费观看cn| 亚洲人成色777777在线观看| 久久人人爽人人爽人人片| 啊灬啊灬啊灬快灬高潮了听书| 清纯校花挨脔日常h| 成人性生交大片免费看一| 在公交车上弄到高c了怎么办| 少妇无套内谢久久久久| 免费A级毛片在线播放不收费 | 好爽毛片一区二区三区色欲| 被老头疯狂灌浆怀孕小说| 河南妇女毛浓浓bw| 思思久久精品在热线热| 里番本子纯肉侵犯肉全彩无码| 国产亚洲精品久久久久久国模美| 国产风流老太婆大bbbhd视频| 免费60分钟床| 妺妺窝人体色777777| 精产国品一二三产品区别图片|