Выполнение произвольных программ через удаленный SQL запрос в DB2 UDB для iSeries
| Дата публикации: | 10.01.2003 |
| Всего просмотров: | 1034 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | DB2 UDB для iSeries поддерживает вызов сохраненных процедур. Программа также позволяет инструкции CREATE PROCEDURE ссылаться на объекты существующих программ. При этом программа не требует явного определения объекта как сохраненную процедуру, позволяя выполнять произвольные программы через удаленный SQl запрос. Пример:
Call qcmdexc('crtmsgq hack' , 0000000012.00000)
Call qcmdexc('sndmsg ''hacked you'' hack' , 0000000024.00000)
Уязвимость обнаружена в iSeries versions 3.2 - 5.2
|
| Ссылки: | DB2 on iSeries Stored Procedures Vulnerability |