安全厂商Trustwave昨日(6/3)披露Adaptive Server Enterprise (ASE)关系型数据库内,有7项中到高风险等级的漏洞,最严重者可造成任意程序代码执行及数据库可被公开访问。
ASE关系型数据库是来自SAP收购的Sybase ASE产品。过去这项产品广受金融业采用。SAP也宣称全球25大银行中,有24家以Sybase ASE来跑关键应用。但是自2010年SAP收购以来,ASE已甚少发布修补程序。
SAP本周公告的7项安全漏洞中,有6项为Trustwave发现。其中最严重的是CVE-2020-6248,它是备份数据库程序代码注入漏洞,出在备份作业复写重要组态档时未做安全检查,导致任何能执行DUMP指令者(如数据库管理员),可以简单指令取代原有的备份服务器组态档,再以DUMP指令驱动攻击程序代码执行,如果SAP ASE跑在Windows平台上,程序档即可默认以本机权限执行。
CVE-2020-6252出在ASE中Cockpit组件使用的小型数据库SQL Anywhere,它是以本机权限执行,但登录这个数据库的密码却存在Windows一个可公开读取的组态档中,使任何Windows用户可以取得密码登录SQL Anywhere数据库,再复写OS文件,以执行恶意程序代码。CVE-2020-6248和CVE-2020-6252的CVSS 3.0风险评分,分别为9.1及9.0,属于重大漏洞。
ASE另外存在CVE-2020-6241、CVE-2020-6243漏洞,前者为发生在ASE全局暂存表格(Global temporary tables)处理DDL宣称不当,通过发送SQL指令,造成数据库合法用户升级到管理员权限,后者则出在ASE中的XP Server组件使恶意程序代码以管理员权限执行。CVSS 3.0风险评分各为8.8及8.0。
另外,研究人员还发现ASE一个处理Web Services不当的漏洞(CVE-2020-6253),让合法用户通过SQL注入升级权限,以及ASE build log包含明码密码的漏洞(CVE- 2020-6250),两个漏洞风险评分各为7.2和6.8。
上述漏洞全部影响SAP Sybase ASE 16.0版本,但有些也波及更早的ASE 15.7或15.8版。除了这些漏洞,SAP另外也修补了发生在Business Objects BI Platform、NetWeaver Application Server ABAP、Identity Server、Enterprise Threat Detection、Master Data Governance等组件的漏洞。