细水 2007.02.25

漏洞播报

IBM DB2 Universal Database DB2INSTANCE文件创建漏洞

发布日期:2007-02-22
更新日期:2007-02-25

受影响系统:

IBM DB2 Universal Database 9.1
IBM DB2 Universal Database 8.x

不受影响系统:

IBM DB2 Universal Database 9 Fix Pack 2

描述:


IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

几个setuid-root二进制程序中存在不安全文件访问漏洞。具体来讲,在提供DB2INSTANCE环境变量时,setuid-root DB2管理二进制程序会使用指定用户的主目录加载配置数据,这允许攻击者通过创建特定的执行环境创建或附加任意文件。此外,还可以利用用户的umask设置创建root所有的完全可写文件。

请注意攻击者无法完全控制所写入数据的内容,但这不会对利用这个漏洞造成很大的影响。

<*来源:iDEFENSE
  
  链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=480
*>

建议:


厂商补丁:

IBM

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www-1.ibm.com/support/docview.wss?uid=swg21255745


您可以随意转载,但必须在显著位置标明 原创链接 和本 版权声明

本文链接: http://www.mcafeefans.com/?p=434

发表评论

电子邮件地址不会被公开。

:wink: :twisted: :roll: :mrgreen: 8) :-D :arrow: :-o more »

返回页首返回页尾