系统用户ACL权限漏洞
发布日期:2021-05-08 12:22:12 浏览次数:25 分类:精选文章

本文共 461 字,大约阅读时间需要 1 分钟。

目录

环境

BUG/漏洞编码

症状

触发条件

解决方案

环境

系统平台:Microsoft Windows (64-bit) 2012,Microsoft Windows (64-bit) 2008

版本:4.3.2,4.7.6,4.7.7,4.7.8,5.6.1

BUG/漏洞编码

CNNVD-201905-335、 CNNVD-201905-337、 CVE-2019-10127、 CVE-2019-10128、 HGVE-2019-E001

症状

数据库安装程序不会清除默认允许的ACL条目。

在用户安装数据库后, 切换到任意无特权的windows用户账号或无特权的账户可能导致瀚高服务账户执行任意代码。

安装程序并不会检查安装的二进制目录仅对可信任用户可写, 并且数据目录仅对可信任用户可访问。

触发条件

数据库安装完成后,非管理员用户和非安装用户可以进入数据文件目录,并对文件有读写权限。

解决方案

临时方案:

     对数据文件目录清除继承权限、Users用户可访问权限。

更多解决方案请登录【瀚高技术支持平台】查看 

上一篇:选择性估算器绕过行安全策略漏洞
下一篇:Tomcat下使用JNDI方式连接瀚高数据库实践(APP)

发表评论

最新留言

逛到本站,mark一下
[***.202.152.39]2025年04月29日 17时54分02秒