一天自动发现四大数据库100漏洞,浙大

机器之心专栏

机器之心编辑部

本文中,浙大的研究者提出了一种名为TransformedQuerySynthesis(TQS)的方法。在运行了24小时后,TQS成功找到了个漏洞,包括MySQL中31个、MariaDB中30个、TiDB中31个、PolarDB中23个。

年度的ACMSIGMOD/PODS国际数据管理大会(SIGMOD)将于当地时间6月18-23日在美国西雅图举办。近日,该会议公布了最佳论文名单,微软研究院的《PredicatePushdownforDataSciencePipelines》和浙江大学的《DetectingLogicBugsofJoinOptimizationsinDBMS》获奖。自年该会议始办以来,这是中国大陆研究团队首次获得该会议的最佳论文奖。其中浙大的研究提出了一种新颖的方法,可以自动发现MySQL、MariaDB、TiDB和PolarDB等数据库管理系统的逻辑漏洞。

过去几十年,现代数据库管理系统(DBMS)不断演进,可以支持多种不同的新架构,比如云平台和HTAP,这需要对查询评估进行越来越复杂精细的优化。查询优化器(queryoptimizer)被认为是DBMS中最复杂和最重要的组件之一,其功能是解析输入的SQL查询,然后在内置成本模型的协助下生成高效的执行方案。查询优化器实现中的错误可能会导致出现漏洞(bug),包括崩溃漏洞和逻辑漏洞。崩溃漏洞很容易检测,因为崩溃会导致系统立即停止。然而逻辑漏洞却容易被忽视,因为逻辑漏洞会导致DBMS返回难以检测的错误结果集。这篇论文


转载请注明:http://www.aierlanlan.com/rzfs/5763.html

  • 上一篇文章:
  •   
  • 下一篇文章: 没有了