日前,由安華金和數據庫攻防實驗室(DBSec Labs)提交的達夢數據庫漏洞獲得CNVD認證,編號:CNVD-2017-31606,該漏洞的危害級別為“高危”,是一個典型的提權漏洞,攻擊者可利用該漏洞非法獲取數據庫最高權限,進而實現對整個數據庫的控制。請廣大用戶及時自查并更新版本,避免發生數據資產損失。
1、數據庫所屬廠商:達夢
2、發現漏洞的數據庫版本:DM7 V7.1.6.3_2017.8.8
3、漏洞詳情
URL:http://not_a_web_vulnerability
威脅程度:高
漏洞ID:CNVD-2017-31606
CNVD-2017-31606漏洞屬于達夢數據庫服務器的越權訪問漏洞,攻擊者可利用漏洞非法獲取擁有數據庫最高權限的DBA角色權限,進而實現對整個數據庫的控制,包括增、刪、改、查等各類關鍵操作,通過惡意篡改數據將造成應用系統癱瘓或直接的經濟損失,而獲取數據庫中的核心數據資產也如囊中取物。
普通用戶可以在被賦予某系統權限的情況下,在沒有訪問SYSDBA下表權限的情況下,只通過為SYSDBA下的表建立函數索引的方式,就可以非法獲取DBA權限,進而控制整個數據庫。
1、請直接切斷用戶create any index權限,防止越權操作。
2、此漏洞發現后,達夢第一時間進行了修復,目前已提供了數據庫的版本更新,具體請見達夢官網:http://www.dameng.com/service/download.shtml
在為用戶提供高價值數據庫安全產品的同時,安華金和一直致力于數據庫安全漏洞的研究,并始終堅持以“以攻促防”的技術思路來指導產品研發和開展數據安全業務。連續取得在國際數據庫漏洞方面的挖掘成果也見證了我國在數據庫漏洞研究領域的能力突破,見證了安華金和在國內數據庫安全領域的技術研究實力。
產品咨詢:4000 258 365 
