
系统用户ACL权限漏洞
发布日期:2021-05-08 12:22:12
浏览次数:25
分类:精选文章
本文共 461 字,大约阅读时间需要 1 分钟。
目录
环境
BUG/漏洞编码
症状
触发条件
解决方案
环境
系统平台:Microsoft Windows (64-bit) 2012,Microsoft Windows (64-bit) 2008
版本:4.3.2,4.7.6,4.7.7,4.7.8,5.6.1
BUG/漏洞编码
CNNVD-201905-335、 CNNVD-201905-337、 CVE-2019-10127、 CVE-2019-10128、 HGVE-2019-E001
症状
数据库安装程序不会清除默认允许的ACL条目。
在用户安装数据库后, 切换到任意无特权的windows用户账号或无特权的账户可能导致瀚高服务账户执行任意代码。
安装程序并不会检查安装的二进制目录仅对可信任用户可写, 并且数据目录仅对可信任用户可访问。
触发条件
数据库安装完成后,非管理员用户和非安装用户可以进入数据文件目录,并对文件有读写权限。
解决方案
临时方案:
对数据文件目录清除继承权限、Users用户可访问权限。
更多解决方案请登录【瀚高技术支持平台】查看