发布日期：2013-01-08
更新日期：2013-01-10

受影响系统：

Sybase Adaptive Server Enterprise 15.5
Sybase Adaptive Server Enterprise 15.0.3
Sybase Adaptive Server Enterprise 12.5.3 ESD#1

描述：

---

BUGTRAQ  ID: 57206

Sybase Adaptive Server Enterprise是关系型数据库管理系统。

Sybase Adaptive Server Enterprise (ASE)在实现上存在多个安全漏洞，本地用户可利用这些漏洞泄露敏感信息、提升权限、绕过安全限制、控制受影响系统、执行SQL注入攻击、操作某些数据、造成拒绝服务。

1、在创建代理表时存在错误，可被利用绕过某些安全限制。

2、通过Sybase Central的ASE插件创建表时存在错误，可被利用绕过某些安全限制。

3、某些输入没有正确过滤即被用在SQL查询中，通过注入任意SQL代码，可被利用操作SQL查询。

4、在处理安装日志文件时存在错误，可被利用泄露敏感信息。

5、未名细节错误可被利用造成栈缓冲区溢出并提升权限

6、未名细节错误可被利用造成拒绝服务

7、未名细节错误可被利用造成栈缓冲区溢出

8、未名细节错误可被利用造成破坏某些服务器端文件

9、未名细节错误可被利用造成执行任意Java代码

<*来源：Martin Rakhmanov
  
  链接：http://secunia.com/advisories/51737/
        http://www.sybase.com/detail?id=1099305
*>

建议：

---

厂商补丁：

Sybase
------
Sybase已经为此发布了一个安全公告（1099305）以及相应补丁:

1099305：Urgent from Sybase: Security vulnerabilities in Adaptive Server Enterprise (ASE)

链接：http://www.sybase.com/detail?id=1099305

补丁下载：http://downloads.sybase.com/

浏览次数：4065
严重程度：0（网友投票）