Avis du CERTA : Vulnérabilités dans IBM Informix Dynamic Server
février 2008 par CERT-FR
1 Risque
* Contournement de la politique de sécurité ;
* élévation de privilèges.
2 Systèmes affectés
* Les versions IBM Informix Dynamic Server 10.00 n’ayant pas le correctif
10.00.xC8.
3 Résumé
Deux vulnérabilités ont été identifiées dans IBM Informix Dynamic Server. Elles
permettraient à une personne malveillante d’élever ses privilèges à ceux
d’administrateur (root).
4 Description
Deux vulnérabilités ont été identifiées dans IBM Informix Dynamic Server :
1. l’une concerne la manipulation de paramètres passés à la commande onedcu,
qui peut provoquer la création et l’écriture de fichiers avec des droits
élevés ;
2. l’autre concerne la variable d’environnement SQLIDEBUG, qui ne gère pas
correctement les droits associés aux fichiers binaires lors de leur
exécution.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation).
6 Documentation
* Bulletin de sécurité IBM swg27011556 du 01 février 2008 :
http://www-1.ibm.com/support/docview.wss?uid=swg27011556
* Référence CVE CVE-2008-0368 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-0368
* Référence CVE CVE-2008-0369 :