漏洞信息详情
IBM DB2 Universal Database目录遍历漏洞
- CNNVD编号:CNNVD-200708-298
- 危害等级: 中危
- CVE编号: CVE-2007-4271
- 漏洞类型: 路径遍历
- 发布时间: 2007-08-18
- 威胁类型: 本地
- 更新时间: 2007-08-20
- 厂 商: ibm
- 漏洞来源: Ariel SanchezJoshu...
漏洞简介
IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。
在创建到目标文件的完整路径时,会将/tmp/连接到环境变量上。由于没有对环境变量中的路径遍历字符串(如../)执行检查,因此攻击者可以通过目录遍历攻击在系统上创建任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www-1.ibm.com/support/docview.wss?uid=swg1IY88226
http://www-1.ibm.com/support/docview.wss?uid=swg1JR25940
http://www-1.ibm.com/support/docview.wss?uid=swg21255352
http://www-1.ibm.com/support/docview.wss?uid=swg21255607
参考网址
来源: AIXAPAR
名称: IY99261
链接:http://www-1.ibm.com/support/docview.wss?uid=swg1IY99261
来源: SECUNIA
名称: 26471
链接:http://secunia.com/advisories/26471
来源: BID
名称: 25339
链接:http://www.securityfocus.com/bid/25339
来源: VUPEN
名称: ADV-2007-2912
链接:http://www.frsirt.com/english/advisories/2007/2912
来源: VIM
名称: 20070818 Recent DB2 Vulnerabilities
链接:http://www.attrition.org/pipermail/vim/2007-August/001765.HTML
来源: www-1.ibm.com
链接:http://www-1.ibm.com/support/docview.wss?uid=swg21255607
来源: www-1.ibm.com
链接:http://www-1.ibm.com/support/docview.wss?uid=swg21255352
来源: AIXAPAR
名称: IY98210
链接:http://www-1.ibm.com/support/docview.wss?uid=swg1IY98210
来源: SECTRACK
名称: 1018581
链接:http://securitytracker.com/id?1018581
来源: IDEFENSE
名称: 20070816 IBM DB2 Universal Database Directory Traversal Vulnerability
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=579
受影响实体
- Ibm Db2_universal_database:8.0:Fp14
- Ibm Db2_universal_database:9.1:Fp2
补丁
暂无
评论