漏洞信息详情
IBM DB2 XML函数文件建立漏洞
- CNNVD编号:CNNVD-200512-657 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2005-4871
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2005-01-05
- 威胁类型: 远程
- 更新时间: 2007-10-09
- 厂 商: ibm
- 漏洞来源: NGSSoftware mark@...
-
漏洞简介
IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。
IBM DB2 4个XML函数可用于在系统上读取和写文件,远程攻击者可以利用这个漏洞提升特权,执行任意命令。
XMLFileFromVarchar和XMLFileFromClob函数可用于在服务器上建立任意文件,如果文件存在,那么旧的将被覆盖,此漏洞可用于攻击者在服务器上建立一个库并通过\"CALL\"装载。XMLVarcharFromFile和XMLClobFromFile可从服务器上读取数据。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.ibm.com/software/data/db2/udb/support/downloadv8.html
http://www.ibm.com/software/data/db2/udb/support/downloadv7.html
参考网址
来源: SECUNIA
名称: 12733
链接:http://secunia.com/advisories/12733/
来源: XF
名称: db2-xml-file-creation(18761)
链接:http://xforce.iss.net/xforce/xfdb/18761
来源: BID
名称: 12170
链接:http://www.securityfocus.com/bid/12170
来源: BUGTRAQ
名称: 20050105 IBM DB2 XML functions file creation vulnerabilities (#NISR05012005I)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110495620513954&w=2 来源:NSFOCUS 名称:7322 链接:http://www.nsfocus.net/vulndb/7322
受影响实体
- Ibm Db2:8.1<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...