IBM Cloudscape Database远程命令执行漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201993 漏洞类型 输入验证
发布时间 2004-02-05 更新时间 2009-07-12
CVE编号 CVE-2004-0253 CNNVD-ID CNNVD-200411-047
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
https://www.securityfocus.com/bid/9583
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200411-047
|漏洞详情
IBMCloudscapeDatabase是嵌入式Java应用数据库。IBMCloudscapeDatabase不充分过滤恶意SQL命令,远程攻击者可以利用这个漏洞以应用程序权限在系统上执行任意命令。通过使用特殊构建的SQL命令,可在执行Cloudscape数据库上的系统中执行任意代码。利用代码类似jboss/hsqldb。这个漏洞主要存在于jdk1.4.2_03中的sun.*andorg.apache.*包不充分的安全设置,当运行cloudscape而没有进行很好的安全管理时可触发此漏洞。此漏洞也可能造成数据库产生拒绝服务。
|受影响的产品
IBM Cloudscape 5.1
|参考资料

来源:XF
名称:cloudscape-sql-injection(15067)
链接:http://xforce.iss.net/xforce/xfdb/15067
来源:BID
名称:9583
链接:http://www.securityfocus.com/bid/9583
来源:BUGTRAQ
名称:20040205IBMcloudscapeSQLDatabase(DB2J)vulnerabletoremotecommand
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107604065819233&w=2