日前��,由安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室(DBSec Labs)提交的DB2國(guó)際數(shù)據(jù)庫(kù)漏洞獲得CVE認(rèn)證����,編號(hào)為CVE-2018-1685,被收錄于中國(guó)、美國(guó)的國(guó)家漏洞庫(kù)�。利用此漏洞,DB2的實(shí)例用戶可以讀取root用戶最高權(quán)限密碼文件����,任意讀取系統(tǒng)文件。
這是繼去年安華金和成功挖出兩個(gè)國(guó)際數(shù)據(jù)庫(kù)品牌informix漏洞后��,又一新發(fā)現(xiàn)�,再次見證了安華金和在國(guó)內(nèi)數(shù)據(jù)庫(kù)安全領(lǐng)域的技術(shù)實(shí)力。
安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室一直投入對(duì)數(shù)據(jù)庫(kù)的安全漏洞研究工作����,多次取得在國(guó)際數(shù)據(jù)庫(kù)漏洞上的研究成果,為國(guó)際數(shù)據(jù)庫(kù)開發(fā)演進(jìn)做出了很大的貢獻(xiàn)���。未來(lái)����,實(shí)驗(yàn)室會(huì)逐步將數(shù)據(jù)庫(kù)漏洞挖掘重點(diǎn)從國(guó)內(nèi)延伸至國(guó)際��。
本次挖掘的漏洞已經(jīng)得到IBM確認(rèn)��,安華金和和攻防實(shí)驗(yàn)室漏洞研究員的名字被展示在其官網(wǎng)的Acknowlegement部分����,研究員得到IBM官方感謝與認(rèn)可����。安華金和公司鏈接也在IBM 2018答謝專頁(yè)中獲得收錄�。
漏洞信息
數(shù)據(jù)庫(kù)廠商:IBM
CVEID:CVE-2018-1685
漏洞類型:信息泄漏
威脅程度:CVSS Base Score: 6.2
發(fā)現(xiàn)漏洞數(shù)據(jù)庫(kù)版本:IBM DB2 V9.7, V10.1, V10.5, and V11.1 的Unix系統(tǒng)平臺(tái) ;IBM DB2 Connect Server
漏洞危害:由于DB2 工具本身需要讀取或修改系統(tǒng)配置文件�����,所以在某些情況下���,需要獲得更高權(quán)限才能操作����,而這種權(quán)限的操作一旦被利用���,黑客就可以通過(guò)DB2實(shí)例賬戶��,精心構(gòu)造參數(shù)來(lái)讀取系統(tǒng)任何文件�����,甚至獲取系統(tǒng)的關(guān)鍵賬戶信息���。
官方修復(fù)建議:用戶通過(guò)通過(guò)Fix Central下載臨時(shí)修復(fù)補(bǔ)丁。具體修復(fù)版本取決于具體的DB2版本�,分別是 DB2 V9.7 FP11, V10.1 FP6, V10.5 FP10 和 V11.1.3.3 iFix002.
安華緊急修復(fù)建議:從DB2 10.1版本開始DB2已不會(huì)完全依賴db2cacpy工具的功能,db2cacpy的相同功能可以通過(guò)DB2 配置助手db2ca以及DB2控制中心工具也可以實(shí)現(xiàn)�����。所以目前可以刪除db2cacpy工具����。
了解更多
DBSec Labs
安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室(DBSec Labs)自2010年11月立以來(lái),專注安全攻防技術(shù)研究及漏洞挖掘工作�,是我國(guó)一支獨(dú)立的、持久的針對(duì)數(shù)據(jù)庫(kù)安全漏洞��、數(shù)據(jù)庫(kù)攻擊技術(shù)模擬和數(shù)據(jù)庫(kù)安全防護(hù)技術(shù)進(jìn)行研究的專業(yè)隊(duì)伍����。國(guó)家信息安全漏洞庫(kù)(CNNVD)2017年發(fā)布的最新一批技術(shù)支撐合作計(jì)劃成員名單,安華金和被正式授予CNNVD技術(shù)支撐單位����。實(shí)驗(yàn)室始終秉承著“以攻促防”的技術(shù)理念,將研究成果融入到安華金和的數(shù)據(jù)庫(kù)安全產(chǎn)品系列中�����。不斷挖掘出國(guó)際數(shù)據(jù)庫(kù)漏洞也見證了安華金和在國(guó)內(nèi)數(shù)據(jù)庫(kù)安全領(lǐng)域的技術(shù)研究實(shí)力。
DB2
IBM公司開發(fā)的一套關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)主要應(yīng)用于大型應(yīng)用系統(tǒng)��,具有較好的可伸縮性���,可支持從大型機(jī)到單用戶環(huán)境����,應(yīng)用于所有常見的服務(wù)器操作系統(tǒng)平臺(tái)下��。憑借著良好的并發(fā)性�、穩(wěn)定性、擴(kuò)展性��,DB2受到各行各業(yè)的青睞��,尤其廣泛應(yīng)用于金融行業(yè)�, 漏洞的存在可能導(dǎo)致關(guān)鍵業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫(kù)安全風(fēng)險(xiǎn),請(qǐng)相關(guān)用戶及時(shí)檢查并更新版本��。
CVE
國(guó)際著名的安全漏洞庫(kù)�,也是對(duì)已知漏洞和安全缺陷的標(biāo)準(zhǔn)化名稱的列表,它是一個(gè)由企業(yè)界���、政府界和學(xué)術(shù)界綜合參與的國(guó)際性組織��,采取一種非盈利的組織形式����,其使命是為了能更加快速而有效地鑒別��、發(fā)現(xiàn)和修復(fù)軟件產(chǎn)品的安全漏洞���。
產(chǎn)品咨詢:4000 258 365 
