S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 novembre 2007
N° CERTA-2007-AVI-486
Affaire suivie par: CERT-FR
le 08 novembre 2007

Avis du CERT-FR

Objet: Vulnérabilités d’IBM Informix

Gestion du document

Référence CERTA-2007-AVI-486
Titre Vulnérabilités d’IBM Informix
Date de la première version 08 novembre 2007
Date de la dernière version 08 novembre 2007
Source(s) Bulletin de version Informix du 06 novembre 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Déni de service à distance ;
  • atteinte à la confidentialité des données.

Systèmes affectés

IBM Informix Dynamic Server 10.00.

Il n'est pas exclus que des versions antérieures soient affectées.

Résumé

Plusieurs vulnérabilités d'IBM Informix Dynamic Server 10.00 permettent à un utilisateur malveillant de provoquer une déni de service à distance ou de porter atteinte à la confidentialité des données.

Description

Une erreur de traitement des requêtes utilisant SQ_ONASSIST permet à un utilisateur malveillant de provoquer un déni de service à distance. Cette vulnérabilité n'affecte que les installations sous Windows.

Une erreur dans le traitement de la variable d'environnement DBLANG permet à un utilisateur malveillant d'accéder à des informations sensibles.

Solution

Migrer en version 10.00.xC7W1.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 08 novembre 2007
    version initiale.