CERTA-2008-AVI-046
Vulnerability from certfr_avis - Published: - Updated:
Deux vulnérabilités ont été identifiées dans IBM Informix Dynamic Server. Elles permettraient à une personne malveillante d'élever ses privilèges à ceux d'administrateur (root).
Description
Deux vulnérabilités ont été identifiées dans IBM Informix Dynamic Server :
- l'une concerne la manipulation de paramètres passés à la commande onedcu, qui peut provoquer la création et l'écriture de fichiers avec des droits élevés ;
- l'autre concerne la variable d'environnement SQLIDEBUG, qui ne gère pas correctement les droits associés aux fichiers binaires lors de leur exécution.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
NoneImpacted products
References
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Les versions IBM Informix Dynamic Server 10.00 n\u0027ayant pas le correctif 10.00.xC8.",
"product": {
"name": "N/A",
"vendor": {
"name": "IBM",
"scada": false
}
}
}
],
"affected_systems_content": null,
"content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans IBM Informix Dynamic Server\n:\n\n1. l\u0027une concerne la manipulation de param\u00e8tres pass\u00e9s \u00e0 la commande\n onedcu, qui peut provoquer la cr\u00e9ation et l\u0027\u00e9criture de fichiers\n avec des droits \u00e9lev\u00e9s ;\n2. l\u0027autre concerne la variable d\u0027environnement SQLIDEBUG, qui ne g\u00e8re\n pas correctement les droits associ\u00e9s aux fichiers binaires lors de\n leur ex\u00e9cution.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
"cves": [
{
"name": "CVE-2008-0369",
"url": "https://www.cve.org/CVERecord?id=CVE-2008-0369"
},
{
"name": "CVE-2008-0368",
"url": "https://www.cve.org/CVERecord?id=CVE-2008-0368"
}
],
"links": [
{
"title": "Bulletin de s\u00e9curit\u00e9 IBM swg27011556 du 01 f\u00e9vrier 2008 :",
"url": "http://www-1.ibm.com/support/docview.wss?uid=swg27011556"
}
],
"reference": "CERTA-2008-AVI-046",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2008-02-05T00:00:00.000000"
}
],
"risks": [
{
"description": "Contournement de la politique de s\u00e9curit\u00e9"
},
{
"description": "\u00c9l\u00e9vation de privil\u00e8ges"
}
],
"summary": "Deux vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 identifi\u00e9es dans IBM Informix Dynamic\nServer. Elles permettraient \u00e0 une personne malveillante d\u0027\u00e9lever ses\nprivil\u00e8ges \u00e0 ceux d\u0027administrateur (\u003cspan class=\"textit\"\u003eroot\u003c/span\u003e).\n",
"title": "Vuln\u00e9rabilit\u00e9s dans IBM Informix Dynamic Server",
"vendor_advisories": [
{
"published_at": null,
"title": "Bulletin de modification IBM 27011556 du 01 f\u00e9vrier 2008",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…