S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 mars 2008
N° CERTA-2008-AVI-155
Affaire suivie par: CERT-FR
le 20 mars 2008

Avis du CERT-FR

Objet: Multiples vulnérabilités dans IBM Informix Dynamic Server

Gestion du document

Référence CERTA-2008-AVI-155
Titre Multiples vulnérabilités dans IBM Informix Dynamic Server
Date de la première version 20 mars 2008
Date de la dernière version 20 mars 2008
Source(s) Bulletins de sécurité IBM
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • déni de service à distance.

Systèmes affectés

  • IBM Informix Dynamic Server 7.x ;
  • IBM Informix Dynamic Server 9.x ;
  • IBM Informix Dynamic Server 10.x ;
  • IBM Informix Dynamic Server 11.x.

Résumé

Plusieurs vulnérabilités ont été découvertes dans IBM Informix Dynamic Server permettant à un individu malveillant d'effectuer un déni de service ou une exécution de code arbitraire à distance.

Description

De multiples vulnérabilités dans IBM Informix Dynamic Server ont été découvertes :

  • une erreur non spécifiée dans la gestion des demandes de connexion malformée peut être exploitée via un paquet spécialement conçu ;
  • une erreur dans oinit.exe lors de l'utilisation de la variable DBPATH pendant l'authentification permet à une personne malintentionnée de provoquer un déni de service via une variable DBPATH trop longue envoyée au port par défaut 1526/TCP ;
  • une erreur dans le fichier oinit.exe permet un dépassement de mémoire tampon via l'envoi, pendant le processus d'authentification, d'un mot de passe trop long sur le port par défaut 1526/TCP.

Solution

Se référer aux bulletins de sécurité IBM pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 20 mars 2008
    version initiale.