IBM DB2 Local Privilege Escalation Vulnerability

 Date de Publication: 2003-08-06
 Titre: IBM DB2 Local Privilege Escalation Vulnerability
 K-Otik ID : 0285
 Exploitable à distance : Non
 Exploitable en local : Oui

 
 * Description Technique - Exploit *
 
Deux vulnérabilités ont été identifiées dans IBM DB2, elles pourraient permettre à un utilisateur local d'élever ses privilèges. La première faille permettrait à un utilisateur local avec des privilèges "bin" d'élever ses derniers jusqu'à "root", elle est liée aux fichiers ".so" qui peuvent être utilisés afin d'exécuter des commandes arbitraires. Le second problème est que les membres du groupe "db2asgrp" peuvent utiliser "db2job" et d'autres fichiers avec les privilèges "root".


 * Versions Vulnérables *

DB2 Universal Database 7.1
DB2 Universal Database 8.1

  * Solution *
 
 Aucune solution officielle pour l'instant.


  * Références *

 http://concepcion.upv.es/~pask/advisories/2003/IBM%20DB2%20db2job
 http://concepcion.upv.es/~pask/advisories/2003/IBM%20DB2%20so-libraries


  * Crédits *
 
Faille découverte par Juan Manuel Pascual Escriba (Août 2003).

 

Audits de Sécurité & Tests Intrusifs F-VNS Security™ Mailing Listes Advisories Service Publicitaire

2002-2003 © Propriété de A.D.Consulting