Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Ingres 2006 version 9.0.4 ;
  • Ingres r3 ;
  • Ingres 2.6 ;
  • Ingres 2.5.

Les versions vulnérables d'Ingres sont intégrées dans les produits suivants :

  • Advantage Data Transformer r2.2 ;
  • AllFusion Enterprise Workbench r1.1, 1.1 SP1, r7, r7.1 ;
  • AllFusion Harvest Change Manager r7, r7.1 ;
  • BrightStor ARCserve Backup v9 (Linux seulement), r11.1, r11.5 (Unix, Linux et Mainframe Linux) ;
  • BrightStor ARCserve Backup for Laptops and Desktops r11.5 ;
  • BrightStor Enterprise Backup (Unix seulement) t10.5 ;
  • BrightStor Storage Command Center r11.5 ;
  • BrightStor Storage Resource Manager r11.5 ;
  • CleverPath Aio Business Rules Expert r10.1 ;
  • CleverPath Predictive Analysis Server r3 ;
  • DocServer 1.1 ;
  • eTrust Admin v8, v8.1, r8.1 SP1, r8.1 SP2 ;
  • eTrust Audit r8 SP2 ;
  • eTrust Directory r8.1 ;
  • eTrust IAM Suite r8.0 ;
  • eTrust IAM Toolkit r8.0, r8.1 ;
  • eTrust Identity Manager r8.1 ;
  • eTrust Network Forensics r8.1 ;
  • eTrust Secure Content Manager r8 ;
  • eTrust Single Sign-On r7, r8, r8.1 ;
  • eTrust Web Access Control 1.0 ;
  • Unicenter Advanced Systems Management r11 ;
  • Unicenter Asset Intelligence r11 ;
  • Unicenter Asset Portfolio Management r11 r2.1, r11.3 ;
  • Unicenter CCS r11 ;
  • Unicenter Database Command Center r11.1 ;
  • Unicenter Desktop and Server Management r11 ;
  • Unicenter Desktop Management Suite r11 ;
  • Unicenter Enterprise Job Manager r1 SP3, r1 SP4 ;
  • Unicenter Job Management Option r11 ;
  • Unicenter Lightweight Portal 2 ;
  • Unicenter Management Portal r3.1.1 ;
  • Unicenter Network and Systems Management r3.0, r11 ;
  • Unicenter Network and Systems Management - Tiered - Multi Platform r3.0 0305, r3.1 0403, r11.0 ;
  • Unicenter Patch Management r11 ;
  • Unicenter Remote Control 6, r11 ;
  • Unicenter Service Accounting r11, r11.1 ;
  • Unicenter Service Assure r2.2, r11, r11.1 ;
  • Unicenter Service Catalog r11, r11.1 ;
  • Unicenter Service Delivery r11.0, r11.1 ;
  • Unicenter Service Intelligence r11 ;
  • Unicenter Service Metric Analysis r3.0.2, r3.5, r11, r11.1 ;
  • Unicenter ServicePlus Service Desk 5.5 SP3, 6.0, 6.0 SP1, r11, r11.1, r11.2 ;
  • Unicenter Software Delivery r11 ;
  • Unicenter TNG 2.4, 2.4.2, 2.4.2J ;
  • Unicenter Workload Control Center r1 SP3, r1 SP4 ;
  • Unicenter Web Services Distributed Management 3.11, 3.50 ;
  • Wily SOA Manager 7.1.

Résumé

De multiples vulnérabilités affectant la base de données Ingres permettent l'exécution de code arbitraire à distance.

Description

Sept vulnérabilités affectant la base de données Ingres ont été rendues publiques. Plusieurs de ces vulnérabilités permettent l'exécution de code arbitraire à distance, sans authentification préalable. L'exploitation d'une de ces vulnérabilités se fait par l'intermédiaire de paquets malformés envoyés aux services iigcc (port 10916/tcp) et iigcd (port 10923/tcp).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation