數(shù)據(jù)庫引擎是用于存儲�、處理和保護(hù)數(shù)據(jù)的核心服務(wù)。正因?yàn)樗菙?shù)據(jù)庫的核心服務(wù),一旦出現(xiàn)高危漏洞�����,往往帶來的危害也是巨大的����,例如,通過漏洞篡改數(shù)據(jù)庫中的數(shù)據(jù)����,甚至是獲取到數(shù)據(jù)庫服務(wù)器權(quán)限,所以數(shù)據(jù)庫引擎的安全問題是數(shù)據(jù)庫安全防護(hù)中的重要一部分�����。
數(shù)據(jù)庫引擎是數(shù)據(jù)庫中相當(dāng)復(fù)雜的軟件部分��,它囊括了能夠保證數(shù)據(jù)庫高效平穩(wěn)運(yùn)行的所必需的多種不同處理邏輯和過程����,同時(shí)還包含實(shí)現(xiàn)與用戶交互的大量部件,包括語法分析器和優(yōu)化器����,以及讓用戶創(chuàng)建程序在數(shù)據(jù)庫內(nèi)部執(zhí)行的運(yùn)行環(huán)境(pl/sql)。由于設(shè)計(jì)的邏輯過于復(fù)雜,程序中出現(xiàn)的設(shè)計(jì)錯(cuò)誤往往會成為安全漏洞�����,且易于被入侵者利用��。這類漏洞包括從恰當(dāng)?shù)氖跈?quán)驗(yàn)證到允許攻擊者獲取數(shù)據(jù)庫所有控制權(quán)的緩沖區(qū)溢出�,這類程序設(shè)計(jì)錯(cuò)誤造成的漏洞非常難以防護(hù)。
其中較為有代表性的是2007年7月Oracle的一個(gè)錯(cuò)誤授權(quán)驗(yàn)證漏洞���。該漏洞允許被篡改的SQL語句繞過執(zhí)行用戶被授權(quán)的權(quán)限��,能夠在沒有相應(yīng)權(quán)限的情況下�����,對數(shù)據(jù)表執(zhí)行更新����、插入和刪除操作����。
Creat view em_em as
Select e1.ename,e1.empno,e1.deptno
From scott.emp e1,scott.emp e2
Where e1.empno=e2.empno;
Delete from em_em;
SQL SERVER 2005的cve-2008-0107也是這種類型的漏洞。該漏洞允許攻擊者通過整數(shù)形緩沖區(qū)溢出漏洞控制SQL SERVER所在服務(wù)器���。
在數(shù)據(jù)庫安全防護(hù)過程中�,針對這種漏洞安華金和建議數(shù)據(jù)庫使用者�����,在出現(xiàn)數(shù)據(jù)庫引擎漏洞的時(shí)候�,應(yīng)該及時(shí)安裝數(shù)據(jù)庫最新補(bǔ)丁,如果因?yàn)槟撤N原因無法及時(shí)打補(bǔ)丁���,也請使用VPATCH功能的數(shù)據(jù)庫防火墻保護(hù)數(shù)據(jù)庫安全���。
產(chǎn)品咨詢:4000 258 365 
