中文描述:

Ingres是很多CA产品默认所使用的数据库后端。 Ingres SQL函数uuid_from_char()可从UUID的字符串表示创建UUID，例如： select uuid_from_char('11111111-2222-3333-4444-555555555555') 如果向uuid_from_char传送了超长字符串参数，就可能溢出栈缓冲区，覆盖保存的返回地址，将执行路径重新定向到攻击者所选择的地址。 Ingres verifydb工具可以解析duveutil.c文件duve_get_args函数中的命令行参数。如果传送了以下形式的参数： -dbms_testAAAAAAAAAAAAAA...<很多A> 就会导致执行以下代码： case 'd': /* debug flag - should be 1st parameter */ if (MEcmp((PTR)argv[parmno], (PTR)"-dbms_test", (u_i2)10) ==DU_IDENTICAL ) { char numbuf[100]; /* scratch pad to read in number*/ /* the DBMS_TEST flag was specified. See if a numeric ** value was attached to it. If so, convert to decimal. */ if (argv[parmno][10]) { STcopy ( &argv[parmno][10], numbuf); cv_numbuf(numbuf, &duve_cb->duve_dbms_test); } else duve_cb->duve_dbms_test = -1; } else duve_cb->duve_debug = TRUE; break; Ingres没有执行长度检查便使用STcopy函数将-dbms_test字符串后的参数数据拷贝到了numbuf缓冲区，这导致覆盖栈中的变量，包括所保存的返回地址。

英文描述:

Multiple stack-based buffer overflows in Ingres database server 2006 9.0.4, r3, 2.6, and 2.5, as used in multiple CA (Computer Associates) products, allow remote attackers to execute arbitrary code via the (1) uuid_from_char or (2) duve_get_args functions.

CWE类型:

标签:

中文解决方案:

英文解决方案:

临时解决方案: