DB2又爆3个高危漏洞
作者: 日期:2018年11月28日 阅:3,135

安华金和攻防实验室再传重要消息:继连续挖到数个informix、DB2国际数据库数据库漏洞,近期又拿下4个IBM DB2数据库漏洞,获得CVE认证,并得到IBM确认。其中,3个高危漏洞和1个中危漏洞。3个高危漏洞属于权限提升漏洞,可以使权限从普通数据库用户提升到操作系统最高权限。

目前,IBM官方已经给出受影响产品版本和补救措施,请根据以下分享的漏洞详情链接,做出及时应对。漏洞列表如下:

1. CVEID: CVE-2018-1780 高危

DESCRIPTION: IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) could allow a local db2 instance owner to obtain root access by exploiting a symbolic link attack to read/write/corrupt a file that they originally did not have permission to access.
CVSS Base Score: 7.8
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/148803 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)

2. CVEID: CVE-2018-1781 高危

DESCRIPTION: IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) could allow a local user to obtain root access by exploiting a symbolic link attack to read/write/corrupt a file that they originally did not have permission to access.
CVSS Base Score: 8.4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/148804 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

3. CVEID: CVE-2018-1834 高危

DESCRIPTION: IBM DB2 for Linux, UNIX and Windows (includes DB2 Connect Server) contains a vulnerability that could allow a local user to escalate their privileges to root through a symbolic link attack.
CVSS Base Score: 7.4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/150511 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

4. CVEID: CVE-2018-1799 中危

DESCRIPTION: IBM DB2 could allow a local unprivileged user to overwrite files on the system which could cause damage to the database.
CVSS Base Score: 6.2
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/149429 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N)

近两年,安华金和在国际数据库漏洞挖掘领域展现出深厚功底,释放出稳健而强有力的攻防研究能力。数据库漏洞挖掘哪家强?安华金和就不谦虚了,毕竟这是安全行业为国争光的大好消息,不断证明国内安全攻防研究的水平提升。

了解更多

DBSec Labs

安华金和数据库攻防实验室(DBSec Labs)自2010年11月立以来,专注安全攻防技术研究及漏洞挖掘工作,是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。国家信息安全漏洞库(CNNVD)2017年发布的最新一批技术支撑合作计划成员名单,安华金和被正式授予CNNVD技术支撑单位。实验室始终秉承着“以攻促防”的技术理念,将研究成果融入到安华金和的数据库安全产品系列中。不断挖掘出国际数据库漏洞也见证了安华金和在国内数据库安全领域的技术研究实力。

DB2

IBM公司开发的一套关系型数据库管理系统主要应用于大型应用系统,具有较好的可伸缩性,可支持从大型机到单用户环境,应用于所有常见的服务器操作系统平台下。凭借着良好的并发性、稳定性、扩展性,DB2受到各行各业的青睐,尤其广泛应用于金融行业, 漏洞的存在可能导致关键业务系统的数据库安全风险,请相关用户及时检查并更新版本。

CVE

国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章