SQLBase 8.1.0 – система управления реляционной базой данных (RDBMS). Разработчик сообщает, что системой пользуются более
1.000.000 человек во всем мире. 

Команда EXECUTE выполняет сохраненную команду или процедуру. Синтаксис этой команды: 

EXECUTE [auth ID].stored_command_or_procedure_name

При передаче чрезмерно большого имя команды/процедуры (более 700 байт) в качестве параметра, работа SQLBase аварийно завершится с возможностью выполнения произвольного кода с привилегиями GuptaSQL Service (Local System). Пример: 

EXECUTE SYSADM.AAAAAAAAAAA…(700 times)

Подобная уязвимость присутствовала в SQLBase 8.0.0, но производитель не смог ее корректно устранить.

Уязвимость обнаружена в SQLBase 8.1.0.

Оставить мнение