IBM DB2 db2licm工具本地缓冲区溢出漏洞

漏洞信息详情

IBM DB2 db2licm工具本地缓冲区溢出漏洞

• CNNVD编号：CNNVD-200310-012
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-0759
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2003-09-22
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ibm
• 漏洞来源：
  CORE

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。
IBM DB2带了一个叫db2licm的工具，此程序实现上存在缓冲溢出漏洞，本地攻击者可能利用此漏洞获取主机的root用户权限。
db2licm以suid root方式安装，程序安装的组属性是db2asgrp，用户db2inst1是db2asgrp组中的唯一用户，所以如果攻击者以db2inst1用户本地访问系统，就可能利用缓冲区溢出漏洞获取主机的root用户权限。此漏洞虽然证实存在于IBM DB2 v7.2 for Linux x86/s390，运行于其它操作系统上的系统也有可能受此漏洞影响。

厂商补丁：
IBM
—
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www-4.ibm.com/software/data/db2/linux/” target=”_blank”>
http://www-4.ibm.com/software/data/db2/linux/

来源: BID
名称: 8553
链接:http://www.securityfocus.com/bid/8553

来源: CIAC
名称: N-154
链接:http://www.ciac.org/ciac/bulletins/n-154.shtml

来源: AIXAPAR
名称: IY47653
链接:http://www-3.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/aparlib.d2w/display_apar_details?aparno=IY47653

来源: BUGTRAQ
名称: 20030918 CORE-2003-0531: Multiple IBM DB2 Stack Overflow Vulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=106389919618721&w=2

来源: VULNWATCH
名称: 20030918 CORE-2003-0531: Multiple IBM DB2 Stack Overflow Vulnerabilities
链接:http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0114.html

来源: ftp.software.ibm.com
链接:ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2aixv7/FP10a_U495172/FixpakReadme.txt

来源: www.coresecurity.com
链接:http://www.coresecurity.com/common/showdoc.php?idx=366&idxseccion=10