IBM DB2多个程序命令行参数缓冲区溢出漏洞

漏洞信息详情

IBM DB2多个程序命令行参数缓冲区溢出漏洞

• CNNVD编号：CNNVD-200409-072
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2003-1050
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2003-11-07
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ibm
• 漏洞来源：
  Strategic Reconnai…

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。
IBM DB2多个程序对用户提交的参数缺少充分边界缓冲区检查，本地攻击者可以利用这些漏洞进行权限提升攻击。
Linux平台下的IBM DB2包含的db2govd， db2start， 和db2stop二进制程序对命令行参数缺少充分边界检查，攻击者提交超长字符串作为参数给程序执行，可触发缓冲区溢出，精心构建提交数据可能以高权限在系统上执行任意指令。

厂商补丁：
IBM
—
IBM为V8数据库推出了Fixpack 4，IBM声称当前正在开发V7数据库的Fixpack 11 ，估计在11月中旬发行，用户可以通过如下地址检查Fixpack发行：

http://www-3.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report” target=”_blank”>
http://www-3.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report

来源: XF
名称: db2-multiple-binaries-bo(13633)
链接:http://xforce.iss.net/xforce/xfdb/13633

来源: BID
名称: 8990
链接:http://www.securityfocus.com/bid/8990

来源: BUGTRAQ
名称: 20031108 SRT2003-11-06-0710 – IBM DB2 Multiple local security issues
链接:http://www.securityfocus.com/archive/1/343804

来源: www.secnetops.com
链接:http://www.secnetops.com/research/advisories/SRT2003-11-06-0710.txt