发布日期：2013-06-11
更新日期：2013-06-14

受影响系统：

IBM Data Studio 3.1.1
IBM Data Studio 3.1.0

描述：

---

BUGTRAQ  ID: 60508
CVE(CAN) ID: CVE-2013-2981

IBM Data Studio是IBM DB2数据库开发和管理的集中式模块化环境。

IBM Data Studio 3.1、3.1.1存在目录遍历漏洞，成功利用后可使攻击者访问任意系统文件。如果用户已经登录到Web应用并且服务器进程是由操作系统凭证启动的，该凭证对任意文件具有读权限，则攻击者可成功利用此漏洞。但是此漏洞不影响Data Studio Web Console进程本身及所监控的数据库，恶意攻击者应该可以访问Data Studio Web Console安装位置以外的敏感文件。

<*来源：IBM （ncsupp@ca.ibm.com）
  
  链接：http://secunia.com/advisories/53840/
        http://www-01.ibm.com/support/docview.wss?uid=swg21638734
*>

建议：

---

厂商补丁：

IBM
---
IBM已经为此发布了一个安全公告（21638734）以及相应补丁:
21638734：IBM Data Studio Web Console is susceptible to a “Directory Traversal Arbitrary File Download” vulnerability.
链接：http://www-01.ibm.com/support/docview.wss?uid=swg21638734

补丁下载：http://www.ibm.com/developerworks/downloads/im/data/

浏览次数：3812
严重程度：0（网友投票）