Avis du CERT-FR

Objet: Vulnérabilité dans SAP MaxDB

Gestion du document

Référence	CERTA-2008-AVI-384
Titre	Vulnérabilité dans SAP MaxDB
Date de la première version	01 août 2008
Date de la dernière version	01 août 2008
Source(s)	Bulletin de sécurité 729 de iDefense du 30 juillet 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire

Systèmes affectés

SAP MaxDB 7.6.03.15.

Résumé

Une vulnérabilité dans la gestion des chemins d'accès aux logiciels (PATH) permet l'exécution de code arbitraire avec les droits de l'utilisateur de la base de données.

Description

Une mauvaise gestion du PATH par le processus dbmsrv permet à un utilisateur malveillant d'exécuter du code arbitraire.

Solution

Se référer au bulletin de sécurité de l'éditeur (note 1178438) pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité iDefense 729 du 30 juillet 2008 :

http://www.idefense.com/ntelligence/vulnerabilities/display.php?id=729

Référence CVE CVE-2008-1810

https://www.cve.org/CVERecord?id=CVE-2008-1810

Gestion détaillée du document

le 01 août 2008: version initiale.