IBM schließt Sicherheitslücken in Informix-Datenbank
Der Sicherheitsdienstleister NGSSoftware meldet Schwachstellen in der Informix-Datenbank von IBM, die der Softwarehersteller inzwischen geschlossen hat.
In IBMs Datenbank Informix Dynamic Server hat der Sicherheitsdienstleister NGSSoftware mehrere Sicherheitslücken entdeckt. Von IBM gibt es gegen diese Lecks inzwischen Updates. Allerdings hat sich der Softwareriese dafür reichlich Zeit gelassen: Schon im Januar 2005 hat NGSSoftware die Fehler laut den Sicherheitsmeldungen an IBM gemeldet.
Über die Funktionen LOTOFILE und rlt_tracefile_set konnten Angreifer beliebige Dateien anlegen und schreiben. Dies war ebenfalls mit SET DEBUG FILE möglich. Außerdem fanden die Sicherheitsspezialisten von NGSSoftware zahlreiche Pufferüberläufe. Sie können in den SQL-Funktionen SET DEBUG FILE, IFX_FILE_TO_FILE, FILETOCLOB, LOTOFILE und DBINFO auftreten. Weiterhin sind auf der Protokollebene die Funktionen _sq_remview, _sq_remproc, _sq_remperms, _sq_distfetch sowie _sq_dcatalog für Pufferüberläufe anfällig; sie greifen auf de C-Funktion getname() zu, die ähnlich wie strcpy() eine Zeichenkette in einen Zielpuffer kopiert.
Administratoren sind angehalten, die Updates baldmöglichst einzuspielen. Sie sind über die üblichen Kanäle bei IBM zu beziehen, sie sollten beispielsweise auf der Passport-Advantage-Seite hinterlegt sein.
Siehe dazu auch: (dmk)
- Multiple Buffer Overflow Vulnerabilities in Informix, Sicherheitsmeldung von NGSSoftware
- Multiple Arbitrary File Access (Write/Read) Vulnerabilities, Sicherheitsmeldung von NGSSoftware
