发布日期：2003-12-18
更新日期：2003-12-24

受影响系统：

IBM DB2 Universal Database for AIX 7.2
IBM DB2 Universal Database for AIX 7.1
IBM DB2 Universal Database for AIX 7.0

描述：

---

BUGTRAQ  ID: 9243
CVE(CAN) ID: CVE-2003-1049

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

IBM DB2建立的DMS目录不够安全，本地攻击者可以利用这个漏洞删除DB2部分文件，造成应用系统不能使用。

IBM DB2以全局可读写的权限建立DMS(Database Managed Space)目录，任意本地用户可以删除这个目录，导致应用系统不能正常工作。

<*来源：IBM （ncsupp@ca.ibm.com）
  
  链接：http://www-306.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/aparlib.d2w/display_apar_detai
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 手工更改DMS目录权限。

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

IBM Upgrade DB2 V7 FixPak 11
http://www-306.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/download.d2w/report
需要DB2 V7.2或DB2 V7.1 with FixPak 3或之后版本.

浏览次数：2707
严重程度：0（网友投票）