IBM Informix Web DataBlade SQL查询语句HTML条目自动解码漏洞

漏洞信息详情

IBM Informix Web DataBlade SQL查询语句HTML条目自动解码漏洞

• CNNVD编号：CNNVD-200207-002
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0555
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-04-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ibm
• 漏洞来源：
  Simon Lodal※ simon…

Informix是由IBM发布和维护的企业级数据库产品，其中Informix Web DataBlade是连接Informix数据库和Web服务器的接口。
Informix Web DataBlade在对HTML编码的字符串处理存在漏洞，可导致远程攻击者以informax进程执行任意SQL查询语句，造成数据库破坏等攻击。
HTML编码的字符串当使用在SQL查询中会自动解码，开发者一般会使用$(WEBUNHTML)来检查所有用户输入，WDB会使用$(WEBUNHTML)函数来转换＜＞\”＆字符为HTML条目，当转化后的字符串传递给SQL查询时会提高安全性，但是如果提交的HTML编码包含一个双引用(double quote)，$(WEBUNHTML)函数就会检查失败而导致任意SQL代码可执行。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
IBM
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.informix.com” target=”_blank”>
http://www.informix.com

来源: BID
名称: 4498
链接:http://www.securityfocus.com/bid/4498

来源: XF
名称: informix-wbm-sql-decoding(8827)
链接:http://www.iss.net/security_center/static/8827.php

来源: BUGTRAQ
名称: 20020411 IBM Informix Web DataBlade: Auto-decoding HTML entities
链接:http://archives.neohapsis.com/archives/bugtraq/2002-04/0137.html