发布日期：2008-03-10
更新日期：2008-03-11

受影响系统：

SAP MaxDB 7.6.0.37

描述：

---

BUGTRAQ  ID: 28185
CVE(CAN) ID: CVE-2008-0306

MaxDB是SAP应用中广泛使用的数据库管理系统。

MaxDB所发布的sdbstarter程序在处理某些环境变量时存在漏洞，本地攻击者可能利用此漏洞提升自己的权限。

这些环境变量用于指定各种MaxDB组件所使用的配置设置。由于sdbstarter程序使用了这些设置，因此本地攻击者可能以root用户权限执行任意指令。如果要利用这个漏洞，攻击者必须能够执行sdbstarter程序，默认下这要求攻击者为sdba组成员。

<*来源：Joshua J. Drake
  
  链接：http://secunia.com/advisories/29312/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=670
*>

建议：

---

厂商补丁：

SAP
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.sap.com/

浏览次数：2223
严重程度：0（网友投票）