S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 novembre 2006
N° CERTA-2006-AVI-473
Affaire suivie par: CERT-FR
le 06 novembre 2006

Avis du CERT-FR

Objet: Vulnérabilité dans IBM Informix Dynamic Server (IDS)

Gestion du document

Référence CERTA-2006-AVI-473
Titre Vulnérabilité dans IBM Informix Dynamic Server (IDS)
Date de la première version 06 novembre 2006
Date de la dernière version 06 novembre 2006
Source(s) Bulletin de sécurité IBM #1247438 du 30 octobre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à l'intégrité des données ;
  • élévation de privilèges.

Systèmes affectés

  • IBM Informix Dynamic Server 10.00 ;
  • IBM Informix Client SDK 2.90 ;
  • IBM Informix Connect 2.90.

Résumé

Deux vulnérabilités dans IBM Informix permettent à un utilisateur local malintentionné d'exécuter du code avec les privilèges d'un autre utilisateur ou de compromettre l'intégrité des données présentes sur le système.

Description

Une vulnérabilité liée à une mauvaise gestion des privilèges dans les scripts d'installation d'IBM Informix permet à un utilisateur local malintentionné d'exécuter du code arbitraire avec les privilèges de l'utilisateur installant l'application.

Une seconde vulnérabilité découverte dans la gestion des fichiers temporaires dans /tmp/ peut être exploitée au moyen d'un lien symbolique afin de compromettre l'intégrité des données du système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 novembre 2006
    version initiale.