Vigil@nce : IBM DB2, lecture XML via GET_WRAP_CFG_C
août 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut employer les fonctions
GET_WRAP_CFG_C et GET_WRAP_CFG_C2 de DB2, afin de lire des
fichiers XML.
– Gravité : 2/4
– Date création : 14/08/2012
PRODUITS CONCERNÉS
– IBM DB2 UDB
DESCRIPTION DE LA VULNÉRABILITÉ
Les fonctions SYSPROC.GET_WRAP_CFG_C et SYSPROC.GET_WRAP_CFG_C2
lisent des fichiers de configuration au format XML. Ces fichiers
sont lus avec les privilèges de DB2 fenced (Administrateur sous
Windows).
Cependant, DB2 ne restreint pas les fichiers auxquels ces
fonctions peuvent accéder.
Un attaquant authentifié peut donc employer les fonctions
GET_WRAP_CFG_C et GET_WRAP_CFG_C2 de DB2, afin de lire des
fichiers XML.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-DB2-lecture-XML-via-GET-WRAP-CFG-C-11845