安華金和數(shù)據(jù)庫攻防實驗室再發(fā)現(xiàn)Informix數(shù)據(jù)庫高危漏洞

日前，由安華金和數(shù)據(jù)庫攻防實驗室（DBSLab）提交的又一國際數(shù)據(jù)庫漏洞獲得CVE認證，編號：CVE-2017-1508。該漏洞同樣來自IBM旗下數(shù)據(jù)庫品牌Informix數(shù)據(jù)庫，目前IBM已確認該漏洞并發(fā)布更新版本。這是繼CVE-2017-1310之后，安華金和提交并獲認證的第2個國際數(shù)據(jù)庫漏洞。

CVE對此漏洞評分為6.7分，屬中高危等級。通過利用此漏洞，黑客可以將普通的數(shù)據(jù)庫用戶權限提升至root權限，取得訪問和修改所有文件和數(shù)據(jù)的最高權限后，進一步控制服務器。Informix數(shù)據(jù)庫在大型銀行、保險公司、電信運營商等行業(yè)用戶中廣泛應用，漏洞的存在可能導致關鍵業(yè)務系統(tǒng)的數(shù)據(jù)庫安全風險，請相關用戶及時檢查并更新版本。

漏洞詳情

1、數(shù)據(jù)庫所屬廠商

IBM

2、發(fā)現(xiàn)漏洞的數(shù)據(jù)庫版本

涉及Informix 12.10.FC1—FC9最新版

3、漏洞描述

類型：本地提權型漏洞

威脅程度：CVSS Base Score: 6.7

漏洞ID：CVE-2017-1508

漏洞形成原理：

1.目前大多數(shù)主流數(shù)據(jù)庫, 包括Oracle、 MySQL、 Informix、DB2等都需要root用戶安裝，這樣就有可能進一步生成具備root特權的文件，生成root進程。

2.Informix 安裝過程中產(chǎn)生了具備root特權的主執(zhí)行文件，這個文件可以在Informix普通用戶的權限下，以root身份進行操作。

3.Informix 啟動過程中，會在開始階段以root權限啟動（其他數(shù)據(jù)庫也有類似現(xiàn)象），創(chuàng)建日志文件，然后再切換到Informix用戶，以此來降低權限，保證安全。

漏洞利用方法：

1.上面我們已經(jīng)提到，Informix在開始階段會以root權限啟動，然后以root身份創(chuàng)建日志文件，如果在這個時候遭到攻擊，黑客會利用Informix的root權限，使Informix以root特權在系統(tǒng)關鍵位置創(chuàng)建木馬文件，從而使系統(tǒng)內所有進程加載黑客代碼。

2. 接下來，黑客通過系統(tǒng)root特權命令觸發(fā)木馬文件內的特權代碼；

3. 嵌入的黑客代碼將會以root身份創(chuàng)建永久root shell，從而得到永久的root權限。

影響與危害：

從Informix的數(shù)據(jù)庫設計原理我們知道，Informix的數(shù)據(jù)庫用戶就是操作系統(tǒng)賬戶（最新版本的Informix， 也沒有從根本上改變這種機制），即數(shù)據(jù)庫普通用戶均可提升為root權限用戶，獲取最高權限后能夠訪問和修改數(shù)據(jù)庫中的全部數(shù)據(jù)，全面控制服務器。

該漏洞如果和Informix其他漏洞結合起來，將造成更為嚴重的影響，比如結合安華金和前期提交認證的Informix遠程溢出漏洞CVE-2017-1310（此漏洞的破壞結果表現(xiàn)為：使遠程用戶控制Informix 服務器，以Informix身份進行攻擊和信息竊取，但還做不到對root用戶數(shù)據(jù)的訪問）。一旦兩個漏洞組合利用，黑客的普通權限可以提升為root，進而訪問所有文件，最終控制整個操作系統(tǒng)。

此漏洞影響范圍覆蓋Informix 12.10.FC1至FC9全部版本，影響范圍之廣需要引起更多重視。

提醒用戶

基于該漏洞的發(fā)現(xiàn)，Informix目前已經(jīng)在新版本中解決了這一漏洞威脅。在此，我們提醒廣大Informix數(shù)據(jù)庫用戶及時升級自己的數(shù)據(jù)庫版本，避免該漏洞可能造成的安全威脅。

在為用戶提供高價值數(shù)據(jù)庫安全產(chǎn)品的同時，安華金和也一直致力于數(shù)據(jù)庫安全漏洞的研究，并始終堅持以“以攻促防”的技術思路來指導產(chǎn)品研發(fā)和開展數(shù)據(jù)安全業(yè)務。連續(xù)取得在國際數(shù)據(jù)庫漏洞方面的挖掘成果也見證了我國在數(shù)據(jù)庫漏洞研究領域的能力突破，見證了安華金和在國內數(shù)據(jù)庫安全領域的技術研究實力。

附錄1：

附錄2：

分享到：

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。