CERT-FI haavoittuvuustiedote 044/2010

IBM Informix Dynamic Server -ohjelmiston RPC-haavoittuvuudet

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- ilman kirjautumista - etäkäyttö	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen - palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

IBM Informix Dynamic Server -ohjelmistossa on haavoittuvuuksia, jotka voivat mahdollistaa palvelunestohyökkäyksen tai hyökkääjän koodin suorittamisen palvelimella. Haavoittuvuudet johtuvat Portmapper-palvelun (portmap.exe) käyttämän RPC-protokollakirjaston (librpc.dll) virheistä porttiin 36890/TCP suunnattujen pakettien käsittelyssä.

HAAVOITTUVAT OHJELMISTOT:

• IBM Informix Dynamic Server versiot ennen 10.00.TC9
• IBM Informix Dynamic Server versiot ennen 11.10.TC3

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä ohjelmisto korjattuun versioon:

• 10.00.TC9 tai 10.00.TC10
• 11.10.TC3 tai 11.10.TC4

osoitteessa http://www-933.ibm.com/support/fixcentral

LISÄTIETOA:

• http://www.zerodayinitiative.com/advisories/ZDI-10-022/
• http://www.zerodayinitiative.com/advisories/ZDI-10-023/
• CVE-2009-2753, CVE-2009-2754
  

PÄIVITYSHISTORIA:

3.3.2010, kello 12.10: Julkaistu

Sivua päivitetty 03.03.2010

Tulostusversio