IBM DB2共享库注入漏洞

漏洞信息详情

IBM DB2共享库注入漏洞

• CNNVD编号：CNNVD-200409-060
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-1052
  
• 漏洞类型：
  
  
  配置错误
  
• 发布时间：
  
  2003-08-05
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ibm
• 漏洞来源：
  Juan Manuel Pascua…

IBM DB2是一款由IBM公司开发的强大的数据库系统，适合于多种操作系统下使用。
IBM DB2的存在共享库注入漏洞，本地攻击者可以利用这个漏洞获得本地root用户权限。
DB2数据库多个共享库以bin.bin属性安装，当setuid root工具连接到这些库时，如果攻击者能够获得bin帐户权限，就可以通过建立恶意共享库，使用这些setuid root工具获得root用户权限。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 更改如下目录的权限和属组：

/usr/IBMdb2/V7.1:

drwxr-xr-x 2 bin bin 4096 Jun 21 2002 java12

drwxr-xr-x 2 bin bin 4096 Jul 30 19:54 lib

drwxr-xr-x 2 bin bin 4096 Jun 21 2002 map

/opt/IBM/db2/V8.1/:

drwxr-xr-x 2 bin bin 4096 Dec 11 2002 java

drwxr-xr-x 2 bin bin 4096 Dec 11 2002 lib

drwxr-xr-x 30 bin bin 4096 Dec 11 2002 license

drwxr-xr-x 2 bin bin 4096 Dec 11 2002 map
厂商补丁：
IBM
—
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.ers.ibm.com/” target=”_blank”>
http://www.ers.ibm.com/

来源: BID
名称: 8346
链接:http://www.securityfocus.com/bid/8346

来源: BUGTRAQ
名称: 20030805 Slight privilege elevation from bin to root in IBM DB2 7.1 – 8.1 all binaries
链接:http://www.securityfocus.com/archive/1/331904

来源: XF
名称: ibm-db2-gain-privileges(12826)
链接:http://xforce.iss.net/xforce/xfdb/12826