S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 05 février 2008
N° CERTA-2008-AVI-046
Affaire suivie par: CERT-FR
le 05 février 2008

Avis du CERT-FR

Objet: Vulnérabilités dans IBM Informix Dynamic Server

Gestion du document

Référence CERTA-2008-AVI-046
Titre Vulnérabilités dans IBM Informix Dynamic Server
Date de la première version 05 février 2008
Date de la dernière version 05 février 2008
Source(s) Bulletin de modification IBM 27011556 du 01 février 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • élévation de privilèges.

Systèmes affectés

  • Les versions IBM Informix Dynamic Server 10.00 n'ayant pas le correctif 10.00.xC8.

Résumé

Deux vulnérabilités ont été identifiées dans IBM Informix Dynamic Server. Elles permettraient à une personne malveillante d'élever ses privilèges à ceux d'administrateur (root).

Description

Deux vulnérabilités ont été identifiées dans IBM Informix Dynamic Server :

  1. l'une concerne la manipulation de paramètres passés à la commande onedcu, qui peut provoquer la création et l'écriture de fichiers avec des droits élevés ;
  2. l'autre concerne la variable d'environnement SQLIDEBUG, qui ne gère pas correctement les droits associés aux fichiers binaires lors de leur exécution.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 05 février 2008
    version initiale.