IBM Data Studio 目录遍历漏洞(CVE-2013-2981)

发布日期:2013-06-11
更新日期:2013-06-14

受影响系统:
IBM Data Studio 3.1.1
 IBM Data Studio 3.1.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 60508
 CVE(CAN) ID: CVE-2013-2981
 
IBM Data Studio是IBM DB2数据库开发和管理的集中式模块化环境。
 
IBM Data Studio 3.1、3.1.1存在目录遍历漏洞,成功利用后可使攻击者访问任意系统文件。如果用户已经登录到Web应用并且服务器进程是由操作系统凭证启动的,该凭证对任意文件具有读权限,则攻击者可成功利用此漏洞。但是此漏洞不影响Data Studio Web Console进程本身及所监控的数据库,恶意攻击者应该可以访问Data Studio Web Console安装位置以外的敏感文件。
 
<*来源:IBM ([email protected]
 
  链接:http://secunia.com/advisories/53840/
        http://www-01.ibm.com/support/docview.wss?uid=swg21638734
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
IBM
 ---
 IBM已经为此发布了一个安全公告(21638734)以及相应补丁:
 21638734:IBM Data Studio Web Console is susceptible to a “Directory Traversal Arbitrary File Download” vulnerability.
 链接:http://www-01.ibm.com/support/docview.wss?uid=swg21638734
 
补丁下载:http://www.ibm.com/developerworks/downloads/im/data/

相关推荐