近日安华金和数据库攻防实验室，又发现了一个DB2数据库漏洞。

DB2数据库存在执行任意代码漏洞，由不正确的边界检查，db2pdcfg容易受到基于堆栈的缓冲区溢出的影响，允许攻击者执行任意代码。

漏洞详情披露如下：

CVEID: CVE-2018-1897 高危

DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer overflow, caused by improper bounds checking which could allow an attacker to execute arbitrary code

CVSS Base Score: 8.4

CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/152462 for the current score

CVSS Environmental Score*: Undefined

CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)

截至12月份，2018年全年由安华金和攻防实验室挖出的数据库漏洞数量共计22个，其中，高危漏洞13个，中危漏洞9个；国产数据库漏洞16个，国际数据库漏洞6个。这些成果的取得是基于强大的攻防研究能力，安华金和一直保持着“以攻促防”的技术研究思路，在数据安全领域不做被动的规则响应，而是主动去解锁攻击源头，让安全防御工事占据主动地位，更利于构建成熟而高效的防御体系。

数据库安全漏洞的研究将一直贯彻数据安全的技术进阶之路，随着大数据库时代的到来，云平台的流行，物联网的兴起，数据库的应用范围越来越广泛，基本上每个领域都能见到数据库的影子。从世界500强到各国政府机关，数据库在其中扮演着非常重要的角色，很多重要和敏感的信息都保存其中，例如个人银行账号密码、政府机密资料、军事核心武器设计图等。因此，数据库成为入侵者越来越有价值的攻击目标，一旦获得数据库权限，入侵者则可以获得非常有价值的数据。因此，确保数据库以及数据库中的数据安全至关重要。而数据库漏洞作为外部入侵的薄弱环节，是数据泄露的一大重要原因。因此，要有针对的加强数据库在某些场景下的安全防护能力，否则安全将成为数据库的“阿喀琉斯之踵”。