|
 |
|
IBM Informix Produkte Unsichere Dateirechte und Temporäre Dateierzeugung
|
|
|
|
|
Secunia Advisory:
|
SA22609
|
|
|
Herausgegeben:
|
2006-10-31
|
|
Last Update:
|
2006-11-08
|
|
|
Gefahrenstufe:
|
Weniger kritisch
|
|
Auswirkung:
|
Erweiterung von Rechten
|
|
Von Wo:
|
Auf dem lokalen System
|
|
Lösungsstatus:
|
Nicht gepatcht
|
|
| Software: | IBM Informix Client Software Development Kit (CSDK) 2.x
IBM Informix Connect 2.x
IBM Informix Dynamic Server 10.x
|
| | CVE reference: | CVE-2006-5663 (Secunia mirror)
CVE-2006-5664 (Secunia mirror)
|
|
|
This advisory is currently marked as unpatched!
- Companies can be alerted when a patch is released! |
|
|
Beschreibung:
Einige Sicherheitslücken wurden in verschiedenen Informix Produkten gemeldet, die böswillige lokale Benutzer ausnutzen können, um bestimmte Aktionen mit erweiterten Rechten auszuführen.
1) Unsichere Dateirechte des Installation-Scripts der Applikation ermöglichen es unpriviligierten Benutzern Code einzuschleusen, der während der Installation ausgeführt wird.
2) Ein Fehler existiert aufgrund der unsicheren Erzeugung von temporären Dateien im Verzeichnis "/tmp" während des Installationsprozesses. Dies kann mit Symlink-Attacken ausgenutzt werden, um beliebige Dateien mit den Rechten des Benutzers, der das Installationsprogramm ausführt, zu erzeugen oder zu überschreiben.
Die folgenden Produkte sind betroffen:
* IBM Informix Dynamic Server Version 10.00
* IBM Informix Client SDK Version 2.90
* IBM Informix Connect Version 2.90
Lösung:
Gewähren Sie nur vertrauenswürdigen Benutzern Zugang zu betroffenen Systemen und benutzen Sie die "-log" Option während der Installation, um temporäre Dateien in einem sicheren Verzeichnis zu erzeugen.
Die Sicherheitslücken werden angeblich in den folgenden Versionen behoben.
-- IBM Informix Dynamic Server --
Solaris Opteron, Linux zSeries: Version 10.00.xC5R1
Alle anderen: Version 10.00.xC6
-- IBM Informix CSDK --
Solaris Opteron, Linux zSeries: Version 2.90.xC4R1
Alle anderen: Version 2.90.xC7
-- IBM Informix Connect --
Solaris Opteron, Linux zSeries: Version 2.90.xC4R1
Alle anderen: Version 2.90.xC7
Gemeldet und/oder entdeckt von:
Gemeldet durch den Hersteller.
Änderungen:
2006-11-08: CVE-Referenz hinzugefügt.
Original Advisory:
http://www-1.ibm.com/support/docview.wss?uid=swg21247438
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
4 Related Secunia Security Advisories
|
|
|
1. IBM Informix Dynamic Server mehrere Sicherheitslücken
|
|
2. IBM Informix Storage Manager XDR-Bibliothek mehrere Sicherheitslücken
|
|
3. IBM Informix Dynamic Server Dateierstellungs-Sicherheitslücken
|
|
4. IBM Informix Dynamic Server Directory-Traversal und Denial of Service
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
