选择性估算器绕过行安全策略漏洞-白红宇

选择性估算器绕过行安全策略漏洞

阅读量：374 次

发布时间：2019-03-05

本文共 493 字，大约阅读时间需要 1 分钟。

环境

BUG/漏洞编码

症状

触发条件

解决方案

环境

系统平台：Linux x86-64 Red Hat Enterprise Linux 7,银河麒麟R系（CPU龙芯）4,Microsoft Windows (64-bit) 2012,Microsoft Windows (64-bit) 2008 R2

版本：5.6.1,4.7.7,4.3.4

BUG/漏洞编码

CNNVD-201905-243、CVE-2019-10130、HGVE-2019-E002

症状

HighgoDB通过对列中可用的数据进行采样来维护表的统计信息。在查询计划过程中会查询此数据。在此补丁包之前，能够执行具有读取给定列权限的SQL查询的用户可以设计出一个泄漏运算符，该运算符可以读取从该列采样的任何数据。如果包括行安全策略禁止用户查看的行中的值，则用户可以有效地绕过该策略。

触发条件

设置行安全的表，创建函数，基于该函数创建含有restrict子句的运算符

解决方案

临时方案：无
解决方案：针对存在本漏洞的软件版本，请打本文档附件补丁包解决。

更多解决方案请登录【瀚高技术支持平台】查看

转载地址：http://qkowz.baihongyu.com/

你可能感兴趣的文章