Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant authentifié peut employer les fonctions
GET_WRAP_CFG_C et GET_WRAP_CFG_C2 de DB2, afin de lire des
fichiers XML.

– Gravité : 2/4
– Date création : 14/08/2012

PRODUITS CONCERNÉS

– IBM DB2 UDB

DESCRIPTION DE LA VULNÉRABILITÉ

Les fonctions SYSPROC.GET_WRAP_CFG_C et SYSPROC.GET_WRAP_CFG_C2
lisent des fichiers de configuration au format XML. Ces fichiers
sont lus avec les privilèges de DB2 fenced (Administrateur sous
Windows).

Cependant, DB2 ne restreint pas les fichiers auxquels ces
fonctions peuvent accéder.

Un attaquant authentifié peut donc employer les fonctions
GET_WRAP_CFG_C et GET_WRAP_CFG_C2 de DB2, afin de lire des
fichiers XML.

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/IBM-DB2-lecture-XML-via-GET-WRAP-CFG-C-11845