Ingres是很多CA产品默认所使用的数据库后端。
CA产品所捆绑Ingres数据库服务器在处理请求数据时存在缓冲区溢出漏洞,远程攻击者可能利用此漏洞控制服务器。
Ingres数据库服务器的通讯服务器(iigcc.exe)和数据访问服务器(iigcd.exe)组件没有正确验证用户所提供数据的长度便将数据拷贝到了固定大小的堆缓冲区。如果远程攻击者在10916(iigcc)或10923(iigcd)端口上建立的TCP会话的话,就可以向数据库服务器发送畸形请求触发漏洞,导致执行任意指令。
Computer Associates eTrust Secure Content Manager r8
Ingres Corporation Ingres Database r3
Ingres Corporation Ingres Database 2006 (v9.0.4)
Ingres Corporation Ingres Database 2.6
Ingres Corporation Ingres Database 2.5
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
<a href="http://www.ingres.com/index.php" target="_blank">http://www.ingres.com/index.php</a>
京公网安备 11010502034610号
暂无评论