IBM公司稱其Linux版DB2數據庫中的一個安全缺陷, 可能導致黑客獲得對數據庫的控制權。
IBM公司稱,這一問題影響其Linux版DB27,它在其網站上發布了一個名為FixPak10a的補丁軟件。它還計劃使用該補丁軟件對其DB2 7支持網頁進行升級。
該缺陷是由核心安全科技公司發現的,它及時向IBM公司通報了這一問題。核心安全科技公司計劃於當地時間本周四發布一個有關該缺陷的安全公告。
核心安全科技公司的工程師表示,該缺陷能夠使黑客獲得DB2數據庫的“root”權限,利用它非常簡單。例如,具有對數據庫有限訪問權限的公司員工就能夠欺騙系統授予他(她)對整個數據庫的訪問權限。該公司的CEO保羅說,這一缺陷非常嚴重,因為它能夠使系統被人控制,經常會有機密資料存儲在DB2數據庫中。
據核心安全科技公司稱,通過向DB2數據庫中的一個表明訪問權限的文件發送較長的命令,該缺陷允許黑客發動“緩沖區溢出缺陷”攻擊。通過發動“緩沖區溢出缺陷”攻擊,黑客能夠控制系統和運行惡意的軟件。
