Sybase ASE声明数据类型缓冲区溢出漏洞
2008-04-09 04:21:17来源:互联网 阅读 ()
发布日期:2004-12-22
更新日期:2005-04-06
受影响系统:
Sybase Adaptive Server Enterprise 12.5.3 ESD#1之前版本不受影响系统:
Sybase Adaptive Server Enterprise 12.5.3 ESD#1描述:
BUGTRAQ ID: 13020
Sybase Adaptive Server Enterprise是一款企业级数据库,可支持传统的、关键任务的OLTP和DSS应用。
Sybase ASE实现了对关联过程执行的SQL语言的多个扩展,其中一个扩展是可以使用declare语句声明指定类型的变量。攻击者可以创建declare语句导致栈溢出。如果成功利用的话,这可能导致内存破坏并执行任意代码。
<*来源:Sherief Hammad (sherief@ngssoftware.com)
Mark Litchfield (mark@ngssoftware.com)
Chris Anley (chris@ngssoftware.com)
链接:http://www.sybase.com/detail?id=1034752
http://www.ngssoftware.com/advisories/sybase-ase.txt
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
1) 以低权限用户运行Sybase ASE;
2) 对Sybase ASE服务器应用主机或网络防火墙;
3) 限制Sybase服务器上拥有帐号用户的数量;
4) 强化口令复杂性和锁定;
5) 在Sybase服务器上允许审计;
6) IDS和IPS厂商可以创建追踪这些漏洞的特征。
厂商补丁:
Sybase
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://downloads.sybase.com/
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash