日前,由安华金和数据库攻防实验室(dbslab)提交的又一国际数据库漏洞获得cve认证,编号:cve-2017-1508。该漏洞同样来自ibm旗下数据库品牌informix数据库,目前ibm已确认该漏洞并发布更新版本。这是继cve-2017-1310之后,安华金和提交并获认证的第2个国际数据库漏洞。
cve对此漏洞评分为6.7分,属中高危等级。通过利用此漏洞,黑客可以将普通的数据库用户权限提升至root权限,取得访问和修改所有文件和数据的最高权限后,进一步控制服务器。informix数据库在大型银行、保险公司、电信运营商等行业用户中广泛应用,漏洞的存在可能导致关键业务系统的k8凯发天生赢家风险,请相关用户及时检查并更新版本。
1、数据库所属厂商
ibm
2、发现漏洞的数据库版本
涉及informix 12.10.fc1—fc9最新版
3、漏洞描述
类型:本地提权型漏洞
威胁程度:cvss base score: 6.7
漏洞id:cve-2017-1508
漏洞形成原理:
1.目前大多数主流数据库, 包括oracle、 mysql、 informix、db2等都需要root用户安装,这样就有可能进一步生成具备root特权的文件,生成root进程。
2.informix 安装过程中产生了具备root特权的主执行文件,这个文件可以在informix普通用户的权限下,以root身份进行操作。
3.informix 启动过程中,会在开始阶段以root权限启动(其他数据库也有类似现象),创建日志文件,然后再切换到informix用户,以此来降低权限,保证安全。
漏洞利用方法:
1.上面我们已经提到,informix在开始阶段会以root权限启动,然后以root身份创建日志文件,如果在这个时候遭到攻击,黑客会利用informix的root权限,使informix以root特权在系统关键位置创建木马文件,从而使系统内所有进程加载黑客代码。
2. 接下来,黑客通过系统root特权命令触发木马文件内的特权代码;
3. 嵌入的黑客代码将会以root身份创建永久root shell,从而得到永久的root权限。
影响与危害:
从informix的数据库设计原理我们知道,informix的数据库用户就是操作系统账户(最新版本的informix, 也没有从根本上改变这种机制),即数据库普通用户均可提升为root权限用户,获取最高权限后能够访问和修改数据库中的全部数据,全面控制服务器。
该漏洞如果和informix其他漏洞结合起来,将造成更为严重的影响,比如结合安华金和前期提交认证的informix远程溢出漏洞cve-2017-1310(此漏洞的破坏结果表现为:使远程用户控制informix 服务器,以informix身份进行攻击和信息窃取,但还做不到对root用户数据的访问)。一旦两个漏洞组合利用,黑客的普通权限可以提升为root,进而访问所有文件,最终控制整个操作系统。
此漏洞影响范围覆盖informix 12.10.fc1至fc9全部版本,影响范围之广需要引起更多重视。
提醒用户
基于该漏洞的发现,informix目前已经在新版本中解决了这一漏洞威胁。在此,我们提醒广大informix数据库用户及时升级自己的数据库版本,避免该漏洞可能造成的安全威胁。
在为用户提供高价值k8凯发天生赢家产品的同时,安华金和也一直致力于k8凯发天生赢家漏洞的研究,并始终坚持以“以攻促防”的技术思路来指导产品研发和开展数据安全业务。连续取得在国际数据库漏洞方面的挖掘成果也见证了我国在数据库漏洞研究领域的能力突破,见证了安华金和在国内k8凯发天生赢家领域的技术研究实力。
附录1:
附录2:
试用申请