漏洞信息详情
CA Ingres verifydb 本地权限提升漏洞
- CNNVD编号:CNNVD-200808-048
- 危害等级: 低危
- CVE编号: CVE-2008-3356
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2008-08-05
- 威胁类型: 本地
- 更新时间: 2008-09-11
- 厂 商: ingres
- 漏洞来源: iDEFENSE
漏洞简介
Ingres是很多CA产品默认所使用的数据库后端。Ingres数据库中所捆绑的ingvalidpw工具用于验证用户凭据。
Ingres多个版本(Ingres 2.6, Ingres 2006 release1及release2 )中的ingvalidpw程序由于不可信的搜索路径而导致本地权限提升漏洞。在加载共享库时,ingvalidpw程序会加载用户目录中的库,本地用户可以通过特制的库获取特权。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.ingres.com/support/security-alert-080108.php
参考网址
来源: support.ca.com
接:https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=181989
来源: XF
名称: ingres-verifydb-symlink(44177)
链接:http://xforce.iss.net/xforce/xfdb/44177
来源: BID
名称: 30512
链接:http://www.securityfocus.com/bid/30512
来源: BUGTRAQ
名称: 20080806 CA Products That Embed Ingres Multiple Vulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/495177/100/0/threaded
来源: www.ingres.com
链接:http://www.ingres.com/support/security-alert-080108.php
来源: VUPEN
名称: ADV-2008-2313
链接:http://www.frsirt.com/english/advisories/2008/2313
来源: VUPEN
名称: ADV-2008-2292
链接:http://www.frsirt.com/english/advisories/2008/2292
来源: SECTRACK
名称: 1020613
链接:http://securitytracker.com/id?1020613
来源: SECUNIA
名称: 31398
链接:http://secunia.com/advisories/31398
来源: SECUNIA
名称: 31357
链接:http://secunia.com/advisories/31357
来源: IDEFENSE
名称: 20080801 Ingres Database for Linux verifydb Insecure File Permissions Modification Vulnerability
链接:http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=731
受影响实体
- Ingres Ingres:2.6
- Ingres Ingres:2006:9.0.1
- Ingres Ingres:2006:9.0.4
- Ingres Ingres:2006:Release_1
- Ingres Ingres:2006:Release_2
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论