【IT168 资讯】日前，来自国内的首个国际数据库安全漏洞获得CVE认证，并得到数据库厂商确认，此漏洞由安华金和数据库安全攻防实验室发现并提交，编号：CVE-2017-1310。该漏洞存在于国际数据库品牌Informix数据库中，属中高危漏洞，利用者可以通过此漏洞控制Informix服务器执行任何函数，进而影响或中断数据库服务。这是国内首个获CVE认证的国际数据库漏洞，目前IBM已确认此漏洞，并发布更新版本，请广大用户及时进行系统升级。

　　漏洞详情

　　1、数据库所属厂商

　　IBM

　　2、发现漏洞的数据库版本

　　Informix Dynamic Server 12.10

　　3、漏洞详情

　　●类型：缓冲区溢出漏洞

　　●威胁程度：CVSS score: 6.5

　　●CVEID：cve-2017-1310

　　●产生原因：Informix 格式化输出函数FORMAT_UNITS对用户输入没有进行有效的格式检查，而直接将用户输入拷贝到堆栈缓冲区中，控制函数返回地址，从而控制服务器。

　　●危害与影响：

　　●1)Informix对调用函数FORMAT_UNITS所要求的权限非常低，数据库普通用户只要具备连接权限，就可触发此函数，导致代码注入及服务器异常;

　　●2)通过构造精密的返回值，用户可以控制Informix服务器执行任何函数，从而造成进一步危害，比如控制服务器立刻停止数据服务;

　　●3)即便没有黑客能力，用户通过简单的超长字符串的输入，反复执行函数，就可导致Informix系统异常，产生大量警告文件，占满服务器磁盘，导致服务器崩溃。另外，Informix 服务器设计上，地址空间固定，无法使用地址空间随机分布

　　如此一来，黑客可预先得知服务器地址分布，从而进行更有针对性的攻击或与其他漏洞组合发起更大规模的网络攻击，产生不可预测的系统性风险。

　　作为信息系统的核心基础设施，数据库技术的难度及复杂度极高，我们看到国内外频繁举办各类网络安全攻防大赛，然而相关数据库技术的攻防大赛却很少见。事实上，国内真正具备数据库安全攻防研究能力的团队，少之又少，加之国际数据库的代码大多非开源，在此之前，从未有国内安全团队成功发现国际数据库漏洞，本次漏洞的发现和认证，标志国内团队数据库安全研究能力的进阶，具有里程碑式的意义。

▲IBM官网的发布信息及致谢内容