发布日期：2004-02-05
更新日期：2004-02-11

受影响系统：

IBM Cloudscape 5.1

描述：

---

BUGTRAQ  ID: 9583
CVE(CAN) ID: CVE-2004-0253

IBM Cloudscape Database是嵌入式Java应用数据库。

IBM Cloudscape Database不充分过滤恶意SQL命令，远程攻击者可以利用这个漏洞以应用程序权限在系统上执行任意命令。

通过使用特殊构建的SQL命令，可在执行Cloudscape数据库上的系统中执行任意代码。利用代码类似jboss/hsqldb。这个漏洞主要存在于jdk 1.4.2_03中的sun.* and org.apache.*包不充分的安全设置，当运行cloudscape而没有进行很好的安全管理时可触发此漏洞。

此漏洞也可能造成数据库产生拒绝服务。

<*来源：Marc Schoenefeld （marc.schoenefeld@uni-muenster.de）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107604065819233&w=2
*>

建议：

---

厂商补丁：

IBM
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www-306.ibm.com/software/data/cloudscape/

浏览次数：2654
严重程度：0（网友投票）