漏洞信息详情

Ingres用户认证非授权访问漏洞

• CNNVD编号：CNNVD-200712-299
• 危害等级： 中危
  
• CVE编号： CVE-2007-6334
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2007-12-20
• 威胁类型： 远程
• 更新时间： 2007-12-21
• 厂        商： microsoft
• 漏洞来源： Bill Maimone

漏洞简介

Ingres是很多CA产品默认所使用的数据库后端。

Windows平台上的Ingres数据库为之后连接的用户分配了与第一个连接用户相同的权限和身份，这允许远程攻击者获得非授权访问。仅在运行于Microsoft IIS Web服务器上且启用了集成Windows认证(IWA)选项的情况下才会出现这个漏洞。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

ftp://ftp.ca.com/caproducts/ips/MDB/Generic_Ingres/IIS_Vulnerability/patch-2.5.0605.12291-win-x86.zip

ftp://ftp.ca.com/caproducts/ips/MDB/Generic_Ingres/IIS_Vulnerability/patch-2.6.0701.12467-win-x86.zip

ftp://ftp.ca.com/caproducts/ips/MDB/Generic_Ingres/IIS_Vulnerability/patch-2.6.0701.12473-win-x86-DBL.zip

参考网址

来源: BID

名称: 26959

链接:http://www.securityfocus.com/bid/26959

来源: SECUNIA

名称: 28187

链接:http://secunia.com/advisories/28187

来源: SECUNIA

名称: 28183

链接:http://secunia.com/advisories/28183

来源: www.ingres.com

链接:http://www.ingres.com/support/security-alertDec17.php

来源: supportconnectw.ca.com

链接:http://supportconnectw.ca.com/public/ingres/infodocs/ingresmswin-secnot.asp

来源: SECTRACK

名称: 1019134

链接:http://www.securitytracker.com/id?1019134

来源: BUGTRAQ

名称: 20071221 [CAID 35970]: CA Products That Embed Ingres Authentication Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/485448/100/0/threaded

来源: OSVDB

名称: 39358

链接:http://www.osvdb.org/39358

来源: VUPEN

名称: ADV-2007-4304

链接:http://www.frsirt.com/english/advisories/2007/4304

来源: VUPEN

名称: ADV-2007-4303

链接:http://www.frsirt.com/english/advisories/2007/4303 来源：NSFOCUS 名称：11325 链接：http://www.nsfocus.net/vulndb/11325

受影响实体

• Microsoft Windows_nt  

补丁

暂无