IBM Informix Sicherheitslücke CVE-2020-4799 im Spatial Datablade Module
Für IBM Informix Dynamic Server wurde am 08.10.2020 eine Sicherheitswarnung veröffentlicht (CVE-2020-4799).
Betroffen ist das Spatial Datablade Module in den Informix Server Versionen 12.10 und 14.10.
Eine bestimmte Funktion im Spatial Datablade kann mit einem Out-of-Range-Parameter aufgerufen werden. Ein lokaler und mit SQL-Rechten angemeldeter Benutzer, könnte über diese Schwachstelle versuchen eine SQL-Injection abzusetzen. Bei einem erfolgreichen Angriff, wäre die Person in der Lage sich erweiterte Nutzerrechte einzuräumen und eigenen Code ausführen.
Abbhilfe bietet ein Fix Pack den IBM auf Fix Central eingestellt hat.
Zur Lösung bietet IBM zwei Möglichkeiten an:
- Wenn Sie das Spatial Datablade nicht verwenden, können Sie den Zugriff durch eine einfache Umbenennung deaktivieren:
Wechseln Sie in das Verzeichnis $INFORMIXDIR/extend
und benennen Sie das Spatial Datablade Verzeichnis um, zum Beispiel: mv spatial.8.22.* spatial.do.not.use - Verwenden Sie das Spatial Datablade, wechseln Sie bitte auf die Fix Central Seite der IBM. IBM hat entsprechende Fix Packs zum Download veröffentlicht:
https://www.ibm.com/support/pages/node/6343587
