Borland Interbase数据库用户权限提升漏洞

漏洞信息详情

Borland Interbase数据库用户权限提升漏洞

• CNNVD编号：CNNVD-200403-092
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-1833
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2004-03-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-20
  
• 厂        商：
  
  borland_software
• 漏洞来源：
  Larry Cashdollar

Borland InterBase跨平台的高性能商业数据库。
Borland InterBase数据库由于错误的配置admin.ib用户数据库文件，本地攻击者可以利用这个漏洞获得数据库管理员权限。
\’\’/opt/interbase/admin.ib\’\’用户数据库文件默认以0666属性安装，本地攻击者可以增加帐户或者修改已存在的帐户获得管理员权限。导致数据库信息泄露。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* chmod 664 /opt/interbase/admin.ib

不过修改成0644默认仍旧允许系统上所有用户的读访问，仍旧可导致数据信息泄露。
厂商补丁：
Borland/Inprise
—————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.borland.com/interbase/” target=”_blank”>
http://www.borland.com/interbase/

来源: BID
名称: 9929
链接:http://www.securityfocus.com/bid/9929

来源: SECTRACK
名称: 1009500
链接:http://securitytracker.com/id?1009500

来源: SECUNIA
名称: 11172
链接:http://secunia.com/advisories/11172

来源: XF
名称: interbase-admin-gain-privileges(15546)
链接:http://xforce.iss.net/xforce/xfdb/15546

来源: OSVDB
名称: 4381
链接:http://www.osvdb.org/4381

来源: IDEFENSE
名称: 20040319 Borland Interbase admin.ib Administrative Access Vulnerability
链接:http://www.idefense.com/application/poi/display?id=80&type=vulnerabilities&flashstatus=true