DB2 Monitoring Console存在文件上傳漏洞

【綠盟科技授權，賽迪發佈，謝絕任何網站轉載，違者，賽迪網將保留追究其法律責任的權利！】

發佈日期：2008-03-14

更新日期：2008-03-17

受影響系統：

DB2 Monitoring Console DB2 Monitoring Console 2.2.18

不受影響系統：

DB2 Monitoring Console DB2 Monitoring Console 2.2.25

描述：

--------------------------------------------------------------------------------

BUGTRAQ ID: 28253

DB2 Monitoring Console是輕型的基於web的DB2控制台。

DB2 Monitoring Console中的安全漏洞允許向運行該應用的Web伺服器上傳文件；如果用戶受騙跟隨了惡意鏈接的話，還可能導致訪問當前用戶所連接的資料庫。成功攻擊要求知道DB2 MC Web伺服器的地址。

<*來源：Rob Williams

鏈接：http://secunia.com/advisories/29367/

http://sourceforge.net/project/shownotes.php?release_id=583793&group_id=211760

*>

建議：

--------------------------------------------------------------------------------

廠商補丁：

DB2 Monitoring Console

----------------------

目前廠商已經發佈了升級補丁以修復這個安全問題，請到廠商的主頁下載：

http://downloads.sourceforge.net/db2mc/DMC_v2.2.25.tar.gz?modtime=1205337745&big_mirror=0

(