• Viernes 29 de Marzo de 2024, 02:10

Autor Tema:  Vulnerabilidades En Ibm Informix Dynamic Server  (Leído 1908 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Vulnerabilidades En Ibm Informix Dynamic Server
« en: Viernes 4 de Agosto de 2006, 15:18 »
0
IBM ha puesto a disposición de los usuarios de Informix Dynamic Server
una importante actualización de seguridad.

IBM Informix Dynamic Server es un servidor estratégico de datos, cuya
principal misión es servir al procesamiento de transacciones en redes
distribuídas OLTP (online transaction processing). Goza de una reputada
trayectoria en factores como el rendimiento y la reducción de tiempos
de indisponibilidad. Por lo que es habitual encontrar instalaciones
de Informix en entornos corporativos, especialmente en aquellos en
los que se penaliza severamente el factor "downtime", por considerarse
inadmisible: banca electrónica, aerolíneas, comercio electrónico a
gran escala, etc.

Los problemas solucionados podrían conducir, siempre en ambientes
locales, ya que no se ha confirmado la explotabilidad de ninguna de
las vulnerabilidades de forma remota, a la denegación de servicio,
la revelación de datos sensibles y eventualmente, al acceso
indiscriminado al sistema.

A modo de resumen, los problemas solucionados son los siguientes:

* Diversos problemas que pueden conducir al desbordamiento de búfer,
como los errores de límites hallados en las funciones BINFO(),
FILETOCLOB(), GETNAME(), IFX_FILE_TO_FILE() y LOTOFILE(). El
desbordamiento es también factible a través de la introducción de
nombres de usuario muy largos, así como explotando la variable de
entorno SQLIDEBUG, que puede ser igualmente explotada.

* Ejecución arbitraria de comandos, a través de los procedimientos de
exportación "dbexp" e importación "dbimp" de bases de datos en
"sysmaster". Es posible la ejecución también a causa de una errónea
permisividad en la directiva "SET DEBUG FILE", destinada a la asignación
de ficheros para el depurado.

* Otros errores indeterminados y no del todo aclarados, que pueden
conducir a la denegación de servicio y la elevación de privilegios.
Dentro de estos errores misceláneos, se ha descubierto que bajo ciertas
condiciones, incluso los usuarios no autorizados pueden crear bases de
datos, siendo posible también que las contraseñas de usuario queden
almacenada en la memoria compartida, sin ningún tipo de cifrado.

El ramillete de sistemas y versiones afectadas es muy dispar, se han
declarado como vulnerables las versiones 7.3, 9.4 y 10.0, con
independencia de la plataforma en la que corran. El fabricante confirma
que las versiones citadas son vulnerables en entornos AIX, HP-UX, Linux,
Solaris y Windows.

Los usuarios de Informix Dynamic Server deben actualizar a las versiones
7.31.xD9, 9.40.xC8, o 10.00.xC4, según corresponda.

Más Información:

Security Vulnerabilities Addressed in Informix Dynamic Server
http://www-1.ibm.com/support/docview.wss?uid=swg21242921
El pasado son solo recuerdos, el futuro son solo sueños