VULHUB ™

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。 几个setuid-root二进制程序中存在不安全文件访问漏洞。具体来讲，在提供DB2INSTANCE环境变量时，setuid-root DB2管理二进制程序会使用指定用户的主目录加载配置数据，这允许攻击者通过创建特定的执行环境创建或附加任意文件。此外，还可以利用用户的umask设置创建root所有的完全可写文件。 请注意攻击者无法完全控制所写入数据的内容，但这不会对利用这个漏洞造成很大的影响。 IBM DB2 Universal Database 9.1 IBM DB2 Universal Database 8.x 厂商补丁： IBM --- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www-1.ibm.com/support/docview.wss?uid=swg21255745" target="_blank">http://www-1.ibm.com/support/docview.wss?uid=swg21255745</a>

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。 几个setuid-root二进制程序中存在不安全文件访问漏洞。具体来讲，在提供DB2INSTANCE环境变量时，setuid-root DB2管理二进制程序会使用指定用户的主目录加载配置数据，这允许攻击者通过创建特定的执行环境创建或附加任意文件。此外，还可以利用用户的umask设置创建root所有的完全可写文件。 请注意攻击者无法完全控制所写入数据的内容，但这不会对利用这个漏洞造成很大的影响。 IBM DB2 Universal Database 9.1 IBM DB2 Universal Database 8.x 厂商补丁： IBM --- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www-1.ibm.com/support/docview.wss?uid=swg21255745" target="_blank">http://www-1.ibm.com/support/docview.wss?uid=swg21255745</a>