Risque
- Exécution de code arbitraire à distance
Systèmes affectés
IBM Informix Dynamic Server 10.x et 11.x, sur Microsoft Windows.
Résumé
Plusieurs vulnérabilités dans Informix permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance avec des droits d'administrateur.
Description
Les modules RPC d'Informix Storage Manager utilisent une bibliothèque XDR (couche présentation).
La bibliothèque utilisée sur les systèmes Microsoft Windows présente plusieurs vulnérabilités permettant de provoquer des débordements de mémoire. L'exploitation de ces vulnérabilités, par le biais de requêtes malformées, permet à un utilisateur malveillant d'exécuter du code arbitraire à distance avec les droits d'administration sur la machine.
Sur les systèmes Unix, la bibliothèque XDR utilisée est celle du système d'exploitation. Elle n'est pas concernée par les vulnérabilités ci-dessus.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs dès leur publication (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21294211 du 28 janvier 2008 : http://www-1.ibm.com/support/docview.wss?uid=swg21294211