系统用户ACL权限漏洞

目录

环境

BUG/漏洞编码

症状

触发条件

解决方案

环境

系统平台：Microsoft Windows (64-bit) 2012,Microsoft Windows (64-bit) 2008

版本：4.3.2,4.7.6,4.7.7,4.7.8,5.6.1

BUG/漏洞编码

CNNVD-201905-335、 CNNVD-201905-337、 CVE-2019-10127、 CVE-2019-10128、 HGVE-2019-E001

症状

数据库安装程序不会清除默认允许的ACL条目。

在用户安装数据库后, 切换到任意无特权的windows用户账号或无特权的账户可能导致瀚高服务账户执行任意代码。

安装程序并不会检查安装的二进制目录仅对可信任用户可写, 并且数据目录仅对可信任用户可访问。

触发条件

数据库安装完成后，非管理员用户和非安装用户可以进入数据文件目录，并对文件有读写权限。

解决方案

临时方案:

     对数据文件目录清除继承权限、Users用户可访问权限。

更多解决方案请登录【瀚高技术支持平台】查看 https://support.highgo.com/#/index/docContent/43f4371102041b62