近日，某國(guó)產(chǎn)數(shù)據(jù)庫(kù)確認(rèn)存在一超高危漏洞，可能導(dǎo)致重大安全風(fēng)險(xiǎn)。該漏洞被“國(guó)家信息安全漏洞庫(kù)”（CNNVD）發(fā)布并得到數(shù)據(jù)庫(kù)廠商官方確認(rèn)，漏洞編號(hào)CNNVD-201702-977。

這是目前該國(guó)產(chǎn)數(shù)據(jù)庫(kù)被確認(rèn)的唯一超高危漏洞，利用此漏洞可以直接奪取操作系統(tǒng)最高控制權(quán)限。

通常，我們按照對(duì)數(shù)據(jù)庫(kù)的機(jī)密性、完整性和可用性的影響程度，對(duì)安全漏洞進(jìn)行等級(jí)評(píng)定，可分為四個(gè)級(jí)別：低危-中危-高危-超危，其中，超危和高危漏洞必須及時(shí)處理，否則可能造成大規(guī)模系統(tǒng)性風(fēng)險(xiǎn)。這里從幾個(gè)維度對(duì)本次超危漏洞進(jìn)行分析，能夠讓大家對(duì)此漏洞有全面認(rèn)識(shí)，并采取有效措施防范和補(bǔ)救。

漏洞產(chǎn)生原因

超危漏洞-CNNVD-201702-977主要是由兩部分安全問(wèn)題共同導(dǎo)致：

1、 在操作系統(tǒng)上數(shù)據(jù)庫(kù)賬號(hào)應(yīng)該只能對(duì)database_home下的文件進(jìn)行操作，但該數(shù)據(jù)庫(kù)并沒(méi)有在這部分做足夠的限制；

2、 數(shù)據(jù)庫(kù)會(huì)存在一些和操作系統(tǒng)上文件進(jìn)行交互的函數(shù)，這部分函數(shù)的訪問(wèn)權(quán)限處理存在缺陷。

此漏洞的出現(xiàn)正是基于這兩部分的安全問(wèn)題，入侵者可以通過(guò)登錄低權(quán)限的數(shù)據(jù)庫(kù)賬戶，向操作系統(tǒng)啟動(dòng)文件夾中植入文件，系統(tǒng)自動(dòng)啟動(dòng)該程序，數(shù)據(jù)庫(kù)賬戶將直接獲得操作系統(tǒng)的最高控制權(quán)。

漏洞危害

當(dāng)入侵者通過(guò)利用該漏洞獲取操作系統(tǒng)最高權(quán)限后，可以對(duì)操作系統(tǒng)控制下的所有的軟件、應(yīng)用、數(shù)據(jù)庫(kù)等進(jìn)行控制，可能嚴(yán)重影響業(yè)務(wù)運(yùn)轉(zhuǎn)或造成大規(guī)模數(shù)據(jù)泄露、篡改等事件。更嚴(yán)重的是，通過(guò)控制一個(gè)操作系統(tǒng)，可以以此為跳板，對(duì)整個(gè)局域網(wǎng)發(fā)起網(wǎng)絡(luò)攻擊，此操作系統(tǒng)淪為肉雞。

棱鏡門(mén)事件之后，國(guó)家進(jìn)一步提出對(duì)信息化關(guān)鍵基礎(chǔ)設(shè)施的國(guó)產(chǎn)化號(hào)召，去IOE的趨勢(shì)蔓延各個(gè)行業(yè)。數(shù)據(jù)庫(kù)系統(tǒng)作為存儲(chǔ)數(shù)據(jù)資產(chǎn)的核心基礎(chǔ)設(shè)施，更應(yīng)重視。

本次CNNVD對(duì)這一超危漏洞的發(fā)布，請(qǐng)用戶予以重視，及時(shí)檢查更新，規(guī)避可能導(dǎo)致的大規(guī)模數(shù)據(jù)資產(chǎn)損失。同時(shí)，918搏天堂將持續(xù)關(guān)注相關(guān)數(shù)據(jù)庫(kù)漏洞信息，及時(shí)預(yù)警通知。