S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 janvier 2008
N° CERTA-2008-AVI-040
Affaire suivie par: CERT-FR
le 30 janvier 2008

Avis du CERT-FR

Objet: Multiples vulnérabilités dans IBM Informix

Gestion du document

Référence CERTA-2008-AVI-040
Titre Multiples vulnérabilités dans IBM Informix
Date de la première version 30 janvier 2008
Date de la dernière version 30 janvier 2008
Source(s) Bulletin IBM 21294211 du 28 janvier 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire à distance.

Systèmes affectés

IBM Informix Dynamic Server 10.x et 11.x, sur Microsoft Windows.

Résumé

Plusieurs vulnérabilités dans Informix permettent à un utilisateur malveillant d'exécuter du code arbitraire à distance avec des droits d'administrateur.

Description

Les modules RPC d'Informix Storage Manager utilisent une bibliothèque XDR (couche présentation).



La bibliothèque utilisée sur les systèmes Microsoft Windows présente plusieurs vulnérabilités permettant de provoquer des débordements de mémoire. L'exploitation de ces vulnérabilités, par le biais de requêtes malformées, permet à un utilisateur malveillant d'exécuter du code arbitraire à distance avec les droits d'administration sur la machine.



Sur les systèmes Unix, la bibliothèque XDR utilisée est celle du système d'exploitation. Elle n'est pas concernée par les vulnérabilités ci-dessus.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs dès leur publication (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 30 janvier 2008
    version initiale.