漏洞起因
设计错误
危险等级
中
影响系统
IBM solidDB 4.5.180
IBM solidDB 6.0.1066
IBM solidDB 6.1.20
IBM solidDB 6.3 Fix Pack 6
IBM solidDB 6.5.Fix Pack2
不受影响系统
危害
远程攻击者可以利用漏洞绕过验证未授权访问数据库。
攻击所需条件
攻击者必须访问IBM SolidDB。
漏洞信息
IBM SolidDB是一款IBM公司开发的内存型数据库系统。
默认监听TCP 1315,1964和2315端口的solid.exe进程存在缺陷,验证协议允许远程攻击者指定密文哈希的长度。通过指定一个最小密文长度,攻击者可以迫使进程仅验证密码哈希的前几个字节。这可导致绕过数据库验证。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全补丁:
IBM solidDB 4.5.181:
http://www-933.ibm.com/support/fixcentral/swg/quickorder?parent=ibm~Information+Management&product=ibm/Information+Management/solidDB+and+solidDB+
Cache&release=4.5.181&platform=All&function=all&source=fc
IBM solidDB 6.0.1067:
http://www-933.ibm.com/support/fixcentral/swg/quickorder?parent=ibm~Information+Management&product=ibm/Information+Management/solidDB+and+solidDB+
Cache&release=6.0.1067&platform=All&function=all&source=fc
IBM solidDB 6.3.47 (FP7):
http://www-933.ibm.com/support/fixcentral/swg/quickorder?parent=ibm~Information+Management&product=ibm/Information+Management/solidDB+and+solidDB+
Cache&release=6.3.47&platform=All&function=all&source=fc
IBM solidDB 6.5.0.3 (FP3):
http://www-933.ibm.com/support/fixcentral/swg/quickorder?parent=ibm~Information+Management&product=ibm/Information+Management/solidDB+and+solidDB+
Cache&release=6.5.0.3&platform=All&function=all&source=fc
漏洞提供者
Tenable Network Security
漏洞消息链接
http://www.zerodayinitiative.com/advisories/ZDI-11-115/
0 条评论。