旧金山 -- Sybase公司最近发布了一个安全补丁来修复其最新版数据库三个漏洞,恶意的黑客可以通过这些漏洞来控制Sybase 服务器并且运行任意的代码。
Sybase说还没有收到任何系统受到这个问题的影响,但是建议客户下载并且安装该补丁,补丁于上星期在它的网站中发表。
Application Security公司发现了这些问题,它说可以利用这些安全漏洞来产生“缓冲区溢出”,这是一个入侵者经常采用的內存问题。该漏洞影响运行其最新版的Adaptive服务器数据库的用户,包括在Unix 和Windows平台上的12.0和12.5版。
Sybase认为这个漏洞并不是太危险。这个漏洞是建立在“有着诸多假设”上面的,它只能由那些以一个“信任用户”的身份进入该系统的人采用。
而Application Security则不同意这样的说法,这些弱点是“高度危险”的。
“一个没有特权的使用者也能执行这些事情;我们坚持这个观点”Application Security的市场经理Stephen Gren认为。
可采用的一个指令是“DROP DATABASE”(删除数据库的命令)。
“虽然该命令只可以被有特权的用户运行,不过如果一个没有特权的用户执行这个指令,在任何的访问控制发生之前就会出现缓冲溢出的现象”Application Security在其网站说“因此一个没有特权的用户也可以利用这个安全漏洞来完全控制一部Sybase服务器”。
该公司在其网站发布了这些漏洞的详细描述,在 http://www.appsecinc.com/resource/alert/sybase。