Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Élévation de privilèges

Systèmes affectés

  • IBM Informix Dynamic Server (IDS) version 10.00.xC3 ainsi que celles antérieures.
  • IBM Informix Dynamic Server (IDS) version 7.31.xD8 ainsi que celles antérieures ;
  • IBM Informix Dynamic Server (IDS) version 9.40.xC5 ainsi que celles antérieures ;

Résumé

Plusieurs vulnérabilités ont été découvertes dans le logiciel Informix Dynamic Server (IDS) d'IBM. Elles permettraient sous certaines conditions à un attaquant distant ou un utilisateur local d'exécuter du code arbitraire, de provoquer un déni de service ou d'accéder à des informations sensibles sur un système vulnérable.

Description

Plusieurs vulnérabilités ont été identifiées dans le logiciel Informix Dynamic Server (IDS) d'IBM. Parmi-celles-ci :

  • débordement de tampon possible au moyen de certaines fonctions comme DBINFO(), LOTOFILE(), FILETOCLOB(), getname() ou ifx_file_to_file() ;
  • stockage de mots de passe utilisateurs en clair dans la mémoire partagée ;
  • défaut de permission pour créer une base de donnéees ;
  • gestion non correcte de certaines variables d'environnement comme SQLIDEBUG.

Ces vulnérabilités permettraient à un attaquant malveillant d'exécuter du code arbitraire ou de provoquer un déni de service (DoS) sur un système vulnérable, ou bien encore d'augmenter ses privilèges et d'accéder à des informations sensibles sur le système.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation