Vulnerability Bulletins |
Vulnerabilidad en IBM DB2 UDP que permite la ejecución de código arbitrario |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Compromiso Root |
| Dificulty | Avanzado |
| Required attacker level | Acceso remoto con cuenta |
System information |
|
| Property | Value |
| Affected manufacturer | Comercial Software |
| Affected software | IBM DB2 UDP iSeries 3.2 - 5.2 |
Description |
|
|
Existe una vulnerabilidad en la base de datos universal DB2 de IBM para plataformas iSeries en las versiones 3.2 a la 5.2. La vulnerabilidad podria permitir a un atacante remoto ejecutar código arbitrario. Esta vulnerabilidad viene dada por un error en la declaración CREATE PROCEDURE SQL, la cual no filtra correctamente los parámetros enviados. El atacante podria usar la declaración CREATE PROCEDURE para invocar cualquier procedimiento almacenado que podria ser utilizado para ejecutar código arbitrario y crear otros programas nuevos sobre el sistema. El atacante podria aprovechar dicha vulnerabilidad para ganar el control completo del servidor afectado. |
|
Solution |
|
|
Actualización de software Visite la web del fabricante para obtener una versión actualizada del software. http://www.ibm.com |
|
Standar resources |
|
| Property | Value |
| CVE | |
| BID | |
Other resources |
|
|
Internet Securiry Systems ibm-db2-iseries-sp (11008) http://www.iss.net/security_center/static/11008.php Securiteam: http://www.securiteam.com/securitynews/5DP071F8VO.html |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2003-01-10 |