IBM DB2 XML函数文件建立漏洞

漏洞信息详情

IBM DB2 XML函数文件建立漏洞

• CNNVD编号：CNNVD-200512-657
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-4871
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2005-01-05
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-10-09
  
• 厂        商：
  
  ibm
• 漏洞来源：
  NGSSoftware mark@…

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。

IBM DB2 4个XML函数可用于在系统上读取和写文件，远程攻击者可以利用这个漏洞提升特权，执行任意命令。

XMLFileFromVarchar和XMLFileFromClob函数可用于在服务器上建立任意文件，如果文件存在，那么旧的将被覆盖，此漏洞可用于攻击者在服务器上建立一个库并通过\”CALL\”装载。XMLVarcharFromFile和XMLClobFromFile可从服务器上读取数据。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.ibm.com/software/data/db2/udb/support/downloadv8.html

http://www.ibm.com/software/data/db2/udb/support/downloadv7.html

来源: SECUNIA

名称: 12733

链接:http://secunia.com/advisories/12733/

来源: XF

名称: db2-xml-file-creation(18761)

链接:http://xforce.iss.net/xforce/xfdb/18761

来源: BID

名称: 12170

链接:http://www.securityfocus.com/bid/12170

来源: BUGTRAQ

名称: 20050105 IBM DB2 XML functions file creation vulnerabilities (#NISR05012005I)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110495620513954&w=2
来源：NSFOCUS
名称：7322
链接：http://www.nsfocus.net/vulndb/7322