Уязвимость в управлении доступом к файлам во внешних таблицах в Interbase / Firebird

Дата публикации:
11.04.2003
Всего просмотров:
1197
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в базах данных Interbase / Firebird в разрешениях доступа к файлу, связанного с внешними таблицами. Заверенный удаленный или локальный пользователь может изменять файлы на системе с root привилегиями.

Заверенный пользователь может создать таблицу во внешнем файле, который является произвольным файлом на системе. Программное обеспечение не проверяет правильность разрешений на доступ к такому файлу. Если файл существует, база данных откроет его и добавит в конец данные пользователя. В результате пользователь может изменять файлы на системе с системными привилегиями. Пример:

create table test external '/etc/passwd' (id char(80));
insert into test values('r00t::0:0:root:/root:/bin/bash');
Уязвимость обнаружена в Borland InterBase 6.01, 6.5, Firebird Database 1.0.2

Ссылки: Interbase/Firebird - external file security bug
или введите имя

CAPTCHA