SQLBase 8.1.0 – система управления реляционной базой данных (RDBMS). Разработчик сообщает, что системой пользуются более
1.000.000 человек во всем мире.
Команда EXECUTE выполняет сохраненную команду или процедуру. Синтаксис этой команды:
EXECUTE [auth ID].stored_command_or_procedure_name
При передаче чрезмерно большого имя команды/процедуры (более 700 байт) в качестве параметра, работа SQLBase аварийно завершится с возможностью выполнения произвольного кода с привилегиями GuptaSQL Service (Local System). Пример:
EXECUTE SYSADM.AAAAAAAAAAA...(700 times)
Подобная уязвимость присутствовала в SQLBase 8.0.0, но производитель не смог ее корректно устранить.
Уязвимость обнаружена в SQLBase 8.1.0.