发布日期：2003-11-07
更新日期：2003-11-14

受影响系统：

IBM DB2 Universal Database for Linux 8.1
IBM DB2 Universal Database for Linux 8.0
IBM DB2 Universal Database for Linux 7.2
IBM DB2 Universal Database for Linux 7.1
IBM DB2 Universal Database for Linux 7.0

描述：

---

BUGTRAQ  ID: 8990
CVE(CAN) ID: CVE-2003-1050

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

IBM DB2多个程序对用户提交的参数缺少充分边界缓冲区检查，本地攻击者可以利用这些漏洞进行权限提升攻击。

Linux平台下的IBM DB2包含的db2govd, db2start, 和db2stop二进制程序对命令行参数缺少充分边界检查，攻击者提交超长字符串作为参数给程序执行，可触发缓冲区溢出，精心构建提交数据可能以高权限在系统上执行任意指令。

<*来源：Strategic Reconnaissance Team （research@secnetops.com）
  
  链接：http://www.secnetops.com/research/advisories/SRT2003-11-06-0710.txt
*>

建议：

---

厂商补丁：

IBM
---
IBM为V8数据库推出了Fixpack 4，IBM声称当前正在开发V7数据库的Fixpack 11 ，估计在11月中旬发行，用户可以通过如下地址检查Fixpack发行：

http://www-3.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report

浏览次数：2827
严重程度：0（网友投票）