IBM ha publicado una actualización de seguridad para reparar dos fallos en IBM Informix Dynamic Server. Éstos podrían causar la ejecución de código arbitrario.

IBM Informix Dynamic Server es un servidor estratégico de datos que se encarga de servir al procesamiento de transacciones en redes distribuidas OLTP (online transaction processing). Tiene una reconocida notoriedad en cuanto a su rendimiento y reducción de tiempo de no disponibilidad.

Por sus características, el IBM Informix Dynamic Server, suele encontrarse en ámbitos corporativos, sobre todo en aerolíneas, banca electrónica o comercio electrónico a gran escala, ya que son compañías en las que no se admite el elemento “downtime”, y es sancionado.

Las vulnerabilidades, que han sido reportadas por Zero Day Initiative, corregidas son las siguientes:

• Varios fallos de desbordamiento de memoria intermedia en la librería RPC (librpc.dll), que podrían producir la ejecución remota de código si se mandan paquetes RPC, al puerto 36890, que hayan sido manipulados . En el puerto se escucha el ISM Portmapper service (portmap.exe).

• Un error de falta de comprobación de signo cuando se produce la autenticación en la librería librpc.dll. El fallo ocasionaría también un desbordamiento de memoria intermedia basado en pila.

Las vulnerabilidades se producen en las versiones creadas antes de la IDS.10.00.TC9 y la IDS 11.10.TC3.

Fuente: Hispasec