漏洞信息详情

IBM DB2 程序"INSTALL_JAR" 访问控制和文件重写漏洞

• CNNVD编号：CNNVD-200906-037
• 危害等级： 中危
  
• CVE编号： CVE-2008-2154
• 漏洞类型： 配置错误
• 发布时间： 2009-06-03
• 威胁类型： 远程
• 更新时间： 2009-06-24
• 厂        商： ibm
• 漏洞来源：

漏洞简介

IBM DB2 FP17版本之前的8版本,FP5版本之前的9.1版本,以及FP2版本之前的9.5版本提供了一个INSTALL_JAR (又称sqlj.install_jar)程序,远程认证用户可以借助未明调用，创建或重写任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www-01.ibm.com/support/docview.wss?uid=swg21318189

参考网址

来源: www-01.ibm.com

链接:http://www-01.ibm.com/support/docview.wss?uid=swg21318189

来源: AIXAPAR

名称: IZ22143

链接:http://www-01.ibm.com/support/docview.wss?uid=swg1IZ22143

来源: AIXAPAR

名称: IZ22142

链接:http://www-01.ibm.com/support/docview.wss?uid=swg1IZ22142

来源: tp.software.ibm.com

链接:ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/aparlist/db2_v82/APARLIST.TXT

来源: XF

名称: db2-installjar-priv-escalation(51105)

链接:http://xforce.iss.net/xforce/xfdb/51105

来源: BID

名称: 35409

链接:http://www.securityfocus.com/bid/35409

来源: AIXAPAR

名称: IZ21983

链接:http://www-01.ibm.com/support/docview.wss?uid=swg1IZ21983

来源: SECUNIA

名称: 31787

链接:http://secunia.com/advisories/31787

来源: OSVDB

名称: 48147

链接:http://osvdb.org/48147

受影响实体

• Ibm Db2:8.0:Fp1  
• Ibm Db2:8.0:Fp10  
• Ibm Db2:8.0:Fp11  
• Ibm Db2:8.0:Fp12  
• Ibm Db2:8.0:Fp13  

补丁

暂无