Выполнение произвольного кода в IBM DB2

Дата публикации:
27.12.2004
Всего просмотров:
941
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: IBM DB2 7.x, 8.1

Описание:
Обнаружено переполнение буфера в IBM DB2. Локальный атакующий может выполнить произвольный код на уязвимой системе.

1. Уязвимость существует в функции generate_distfile. Локальный атакующий может послать функции с помощью 'db2dbappext.dll' специально сформированный третий параметр, вызвать переполнение стека и выполнить произвольный код на уязвимой системе.

2. Уязвимость существует в функции rec2xml. Удаленный атакующий может послать функции длинные третий параметр и выполнить произвольный код на уязвимой системе.

URL производителя: www-306.ibm.com/software/data/db2/udb/

Решение: Установите обновление
For DB2 v8.1:

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html

For DB2 v7.x:

http://www.ibm.com/software/data/db2/udb/support/downloadv7.html



Ссылки: IBM DB2 generate_distfile buffer overflow vulnerability (#NISR2122004L)
IBM DB2 rec2xml buffer overflow vulnerability (#NISR2122004J)
или введите имя

CAPTCHA