发布日期:2013-06-11
更新日期:2013-06-14
受影响系统:
IBM Data Studio 3.1.1
IBM Data Studio 3.1.0
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 60508
CVE(CAN) ID: CVE-2013-2981
IBM Data Studio是IBM DB2数据库开发和管理的集中式模块化环境。
IBM Data Studio 3.1、3.1.1存在目录遍历漏洞,成功利用后可使攻击者访问任意系统文件。如果用户已经登录到Web应用并且服务器进程是由操作系统凭证启动的,该凭证对任意文件具有读权限,则攻击者可成功利用此漏洞。但是此漏洞不影响Data Studio Web Console进程本身及所监控的数据库,恶意攻击者应该可以访问Data Studio Web Console安装位置以外的敏感文件。
<*来源:IBM (ncsupp@ca.ibm.com)
链接:
?uid=swg21638734
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
IBM已经为此发布了一个安全公告(21638734)以及相应补丁:
21638734:IBM Data Studio Web Console is susceptible to a “Directory Traversal Arbitrary File Download” vulnerability.
链接:?uid=swg21638734
补丁下载: