安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
Sybase ASE attrib_valid缓冲区溢出漏洞
发布日期:
2004-12-22
更新日期:
2005-04-06
受影响系统:
Sybase Adaptive Server Enterprise 12.5.3 ESD#1之前版本
不受影响系统:
Sybase Adaptive Server Enterprise 12.5.3 ESD#1
描述:
BUGTRAQ ID:
13009
CVE(CAN) ID:
CVE-2005-0441
Sybase Adaptive Server Enterprise是一款企业级数据库,可支持传统的、关键任务的OLTP和DSS应用。
Sybase ASE中包含有一组对SQL语言的过程扩展,被称为Transact-SQL。这些扩展中包含有管理数据类型的函数,其中的一个函数attrib_valid存在栈溢出漏洞。远程攻击者可能导致内存破坏并执行任意代码。
<*来源:Sherief Hammad (
sherief@ngssoftware.com
)
Mark Litchfield (
mark@ngssoftware.com
)
Chris Anley (
chris@ngssoftware.com
)
链接:
http://www.sybase.com/detail?id=1034752
http://www.ngssoftware.com/advisories/sybase-ase.txt
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
1) 以低权限用户运行Sybase ASE;
2) 对Sybase ASE服务器应用主机或网络防火墙;
3) 限制Sybase服务器上拥有帐号用户的数量;
4) 强化口令复杂性和锁定;
5) 在Sybase服务器上允许审计;
6) IDS和IPS厂商可以创建追踪这些漏洞的特征。
厂商补丁:
Sybase
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://downloads.sybase.com/
浏览次数:
3472
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客