Security Lab

Множественные уязвимости в Informix Dynamic Server

Дата публикации:04.08.2006
Всего просмотров:1391
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2006-3853
CVE-2006-3854
CVE-2006-3855
CVE-2006-3856
CVE-2006-3857
CVE-2006-3858
CVE-2006-3859
CVE-2006-3860
CVE-2006-3861
CVE-2006-3862
Вектор эксплуатации: Локальная сеть
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Повышение привилегий
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM Informix Dynamic Server 9.x
IBM Informix Dynamic Server 7.x
IBM Informix Dynamic Server 10.x
Уязвимые версии:
IBM Informix Dynamic Server 9.4 и более ранние версии
IBM Informix Dynamic Server 7.3 и более ранние версии
IBM Informix Dynamic Server 10.0 и более ранние версии

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю получить доступ к важным данным на системе, вызвать отказ в обслуживании и скомпрометировать целевую систему.

1. Уязвимость существует из-за ошибки проверки границ данных в функции "DBINFO()". Удаленный пользователь может вызвать переполнение буфера.

2. Уязвимость существует из-за ошибки проверки границ данных в функции "LOTOFILE()". Удаленный пользователь может вызвать переполнение буфера.

3. Уязвимость существует из-за ошибки проверки границ данных в функции "FILETOCLOB()". Удаленный пользователь может вызвать переполнение буфера.

4. Удаленный пользователь может выполнить произвольные команды на системе с помощью процедур "dbimp" и "dbexp" в sysmaster.

5. Уязвимость существует из-за ошибки проверки границ данных при обработке имени пользователя. Злоумышленник может с помощью слишком длинного имени пользователя вызвать переполнение буфера.

6. Удаленный пользователь может с помощью выражения "SET DEBUG FILE" выполнить произвольные команды на системе.

7. Уязвимость существует из-за ошибки проверки границ данных при обработке выражения "SET DEBUG FILE". Удаленный пользователь может вызвать переполнение буфера.

8. Уязвимость существует из-за ошибки проверки границ данных в функции "getname()". Удаленный пользователь может вызвать переполнение буфера.

9. Злоумышленник может повысить свои привилегии на системе с помощью C UDR кода.

10. Две неизвестных ошибки могут позволить злоумышленнику вызвать отказ в обслуживании приложения.

11. Пароли пользователей хранятся в открытом виде в разделяемой памяти приложения.

12. Все пользователи имеют доступ на создание баз данных.

13. Уязвимость существует из-за ошибки проверки границ данных в функции "ifx_file_to_file()". Удаленный пользователь может вызвать переполнение буфера.

14. Уязвимость существует из-за ошибки проверки границ данных при обработке переменной окружения "SQLIDEBUG". Удаленный пользователь может вызвать переполнение буфера.

URL производителя: ibm.com

Решение: Установите последнюю версию с сайта производителя.

Ссылки: Security Vulnerabilities Addressed in Informix Dynamic Server