Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Élévation de privilèges
Systèmes affectés
- IBM Informix Dynamic Server (IDS) version 10.00.xC3 ainsi que celles antérieures.
- IBM Informix Dynamic Server (IDS) version 7.31.xD8 ainsi que celles antérieures ;
- IBM Informix Dynamic Server (IDS) version 9.40.xC5 ainsi que celles antérieures ;
Résumé
Plusieurs vulnérabilités ont été découvertes dans le logiciel Informix Dynamic Server (IDS) d'IBM. Elles permettraient sous certaines conditions à un attaquant distant ou un utilisateur local d'exécuter du code arbitraire, de provoquer un déni de service ou d'accéder à des informations sensibles sur un système vulnérable.
Description
Plusieurs vulnérabilités ont été identifiées dans le logiciel Informix Dynamic Server (IDS) d'IBM. Parmi-celles-ci :
- débordement de tampon possible au moyen de certaines fonctions comme DBINFO(), LOTOFILE(), FILETOCLOB(), getname() ou ifx_file_to_file() ;
- stockage de mots de passe utilisateurs en clair dans la mémoire partagée ;
- défaut de permission pour créer une base de donnéees ;
- gestion non correcte de certaines variables d'environnement comme SQLIDEBUG.
Ces vulnérabilités permettraient à un attaquant malveillant d'exécuter du code arbitraire ou de provoquer un déni de service (DoS) sur un système vulnérable, ou bien encore d'augmenter ses privilèges et d'accéder à des informations sensibles sur le système.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité 1242921 d'IBM du 31 juillet 2006 : http://www-1.ibm.com/support/docview.wss?uid=swg2242921