Выполнение произвольных программ через удаленный SQL запрос в DB2 UDB для iSeries

Дата публикации:
10.01.2003
Всего просмотров:
731
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: DB2 UDB для iSeries поддерживает вызов сохраненных процедур. Программа также позволяет инструкции CREATE PROCEDURE ссылаться на объекты существующих программ. При этом программа не требует явного определения объекта как сохраненную процедуру, позволяя выполнять произвольные программы через удаленный SQl запрос. Пример:
Call qcmdexc('crtmsgq hack' , 0000000012.00000) 
Call qcmdexc('sndmsg ''hacked you'' hack' , 0000000024.00000)
Уязвимость обнаружена в iSeries versions 3.2 - 5.2

Ссылки: DB2 on iSeries Stored Procedures Vulnerability
или введите имя

CAPTCHA