发布日期：2002-04-11
更新日期：2002-04-15

受影响系统：

IBM Informix Web Datablade 4.13
IBM Informix Web Datablade 4.12
IBM Informix Web Datablade 4.11
IBM Informix Web Datablade 4.10

描述：

---

BUGTRAQ  ID: 4498
CVE(CAN) ID: CVE-2002-0555

Informix是由IBM发布和维护的企业级数据库产品，其中Informix Web DataBlade是连接Informix数据库和Web服务器的接口。

Informix Web DataBlade在对HTML编码的字符串处理存在漏洞，可导致远程攻击者以informax进程执行任意SQL查询语句，造成数据库破坏等攻击。

HTML编码的字符串当使用在SQL查询中会自动解码，开发者一般会使用$(WEBUNHTML)来检查所有用户输入，WDB会使用$(WEBUNHTML)函数来转换<>"&字符为HTML条目，当转化后的字符串传递给SQL查询时会提高安全性，但是如果提交的HTML编码包含一个双引用(double quote)，$(WEBUNHTML)函数就会检查失败而导致任意SQL代码可执行。

<*来源：Simon Lodal （simonl@mirrormind.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0137.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

IBM
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.informix.com

浏览次数：3120
严重程度：0（网友投票）