发布日期：2012-05-29
更新日期：2012-05-31

受影响系统：

unixODBC Project unixODBC 2.3.1
unixODBC Project unixODBC 2.3.0
unixODBC Project unixODBC 2.0.10

描述：

---

BUGTRAQ  ID: 53712
CVE(CAN) ID: CVE-2012-2657,CVE-2012-2658

ODBC是一个开放式规范，为应用开发者提供访问数据源的可预测式API。unixODBC Project是将unixODBC开发和提升为非MS Windows平台上的ODBC权威标准，包含对KDE和GNOME的GUI支持。

unixODBC 2.3.1、2.3.0、2.0.10版本在实现上存在多个缓冲区溢出漏洞，库unixODBC没有正确检查DSN中的FILEDSN=,DRIVER=选项输入，可造成传递到SQLDriverConnect()函数时缓冲区溢出，成功利用可允许攻击者以当前用户权限执行任意代码。

<*来源：Felipe Pena
  
  链接：http://seclists.org/oss-sec/2012/q2/425
*>

建议：

---

厂商补丁：

unixODBC Project
----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.unixodbc.org/

浏览次数：2173
严重程度：0（网友投票）