漏洞起因
设计错误
危险等级
中
影响系统
DB2 Connect 9.x
IBM DB2 9.x
不受影响系统
危害
本地攻击者可以利用漏洞提升特权。
攻击所需条件
攻击者必须构建恶意库,诱使用户在库所在目录中运行”tmaitm6/lx8266/bin/kbbacf1″。
漏洞信息
IBM DB2 Universal Database Server是一款大型的商业关系数据库系统。
IBM DB2/IBM DB2 Connect存在安全漏洞,允许恶意本地用户提升特权。
Tivoli监视代理(ITMA)绑定的SUID “tmaitm6/lx8266/bin/kbbacf1″可执行文件不安全使用DT_RPATH来装载libkbb.so库,本地攻击者可以利用此漏洞诱使目标用户在特制库所在目录运行应用程序,可装载任意库提升权限。
测试方法
厂商解决方案
用户可参考如下供应商提供的安全公告获得补丁信息:
http://www.ibm.com/support/docview.wss?uid=swg21576372
漏洞提供者
Tim Brown
评论关闭。