发布日期：2001-11-21
更新日期：2001-11-27

受影响系统：

IBM Informix SQL 7.31.UC5
IBM Informix SQL 9.20.UC2

描述：

---

BUGTRAQ  ID: 3575
CVE(CAN) ID: CAN-2001-0924

Informix是由IBM发布和维护的企业级数据库产品，Web DataBlade是用来为Informix提
供大容量二进制数据存储的模块。

该模块存在一个安全问题，可能允许攻击者浏览整个文件系统。

这是由于没有过滤“../”造成的，例如：下面的url将泄露“/etc/passwd”文件的内
容。

http://site.com/ifx/?LO=../../../etc/passwd

<*来源：Beck Mr.R （bug_hunt@hotmail.com）
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-11/0193.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时限制对该模块的访问

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取补丁程序：
http://www-4.ibm.com/software/data/informix/blades/


浏览次数：3448
严重程度：0（网友投票）