Miembros de
Boletines de Vulnerabilidades |
Vulnerabilidad en IBM DB2 UDP que permite la ejecución de código arbitrario |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Compromiso Root |
| Dificultad | Avanzado |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricante afectado | Comercial Software |
| Software afectado | IBM DB2 UDP iSeries 3.2 - 5.2 |
Descripción |
|
|
Existe una vulnerabilidad en la base de datos universal DB2 de IBM para plataformas iSeries en las versiones 3.2 a la 5.2. La vulnerabilidad podria permitir a un atacante remoto ejecutar código arbitrario. Esta vulnerabilidad viene dada por un error en la declaración CREATE PROCEDURE SQL, la cual no filtra correctamente los parámetros enviados. El atacante podria usar la declaración CREATE PROCEDURE para invocar cualquier procedimiento almacenado que podria ser utilizado para ejecutar código arbitrario y crear otros programas nuevos sobre el sistema. El atacante podria aprovechar dicha vulnerabilidad para ganar el control completo del servidor afectado. |
|
Solución |
|
|
Actualización de software Visite la web del fabricante para obtener una versión actualizada del software. http://www.ibm.com |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
Internet Securiry Systems ibm-db2-iseries-sp (11008) http://www.iss.net/security_center/static/11008.php Securiteam: http://www.securiteam.com/securitynews/5DP071F8VO.html |
|
Histórico de versiones |
||
| Versión | Comentario | Fecha |
| 1.0 | Aviso emitido | 2003-01-10 |