Posted in 安全

“0”突破!首次发现国际数据库漏洞 可致数据库服务中断

 2017年7月25日
日前,来自国内的首个国际数据库安全漏洞获得CVE认证,并得到数据库厂商确认,此漏洞由安华金和数据库安全攻防实验室发现并提交,编号:CVE-2017-1310。该漏洞存在于国际数据库品牌Informix数据库中,属中高危漏洞,利用者可以通过此漏洞控制Informix服务器执行任何函数,进而影响或中断数据库服务。这是国内首个经CVE认证的国际数据库漏洞,目前IBM已确认此漏洞并发布更新版本,请广大用户及时进行系统升级。

漏洞信息

1、数据库所属厂商

IBM

2、发现漏洞的数据库版本

Informix Dynamic Server 12.10

3、漏洞详情

类型:缓冲区溢出漏洞

威胁程度:CVSS score: 6.5

CVEID:cve-2017-1310

产生原因:Informix 格式化输出函数FORMAT_UNITS对用户输入没有进行有效的格式检查,而直接将用户输入拷贝到堆栈缓冲区中,控制函数返回地址,从而控制服务器。

危害与影响:

1)Informix对调用函数FORMAT_UNITS所要求的权限非常低,数据库普通用户只要具备连接权限,就可触发此函数,导致代码注入及服务器异常;

2)通过构造精密的返回值,用户可以控制Informix服务器执行任何函数,从而造成进一步危害,比如控制服务器立刻停止数据服务;

3)即便没有黑客能力,用户通过简单的超长字符串的输入,反复执行函数,就可导致Informix系统异常,产生大量警告文件,占满服务器磁盘,导致服务器崩溃。另外,Informix 服务器设计上,地址空间固定,无法使用地址空间随机分布,如此一来,黑客可预先得知服务器地址分布,从而进行更有针对性的攻击或与其他漏洞组合发起更大规模的网络攻击,产生不可预测的系统性风险。

突破-数据库安全研究能力的进阶
作为信息系统的核心基础设施,数据库技术的难度及复杂度极高,我们看到国内外频繁举办各类网络安全攻防大赛,然而相关数据库技术的攻防大赛却很少见。事实上,国内真正具备数据库安全攻防研究能力的团队,少之又少,加之国际数据库的代码封闭性,在此之前,从未有国内安全团队成功发现国际数据库漏洞,本次漏洞的发现和认证,标志国内团队数据库安全研究能力的进阶,具有里程碑式的意义。

深入——展现卓越攻防研究能力
安华金和数据库攻防实验室(DBSec Labs)于2010年11月成立,是我国最早的一支,针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍,也是目前国内唯一具备数据库攻防能力和漏洞研究能力的安全实验室。其中,对数据库安全漏洞进行研究,是DBSLab的首要职责,目前,DBSLab发现的多个数据库安全漏洞应得到相关漏洞平台及厂商确认,本次国际主流数据库漏洞的发现和认证只是开始。当前我国各行业广泛使用Oracle、SQL Server和DB2等国外数据库产品,关系国家和民生安全,需要国内安全团队加大对其的安全研究,这也是安华金和组建此研究团队的初衷。

求实——研究实力转化为产品价值
当然,安华金和的各项研究成果不会止步于研究层面,而是将这份成果快速转化为安全防护能力,推动技术研发落地,从而形成更过硬的安全产品交付用户,这是安华金和能够一直保持行业领先地位的根基。未来,安华金和将持续投入技术及人才,参与国际化的漏洞研究,为用户提供及时详尽的安全预警,规避安全风险。