FLASH - Sicherheitslücke in IBM i DB2 - schnell mal PTF laden

[Fuerchau]

Nun, beliebte Methoden sind ja auch, eine eigene SYS-Lib an den Anfang zu stellen um genau diesen Effekt zu erreichen. Also ein eigenes Programm aufrufen, dass bestimmte Aktionen vor-/nachher durchführen soll und das ersetzte Programm dann selber qualifiziert aufruft.
Dies wird dann nun wohl nicht mehr gehen, wenn IBM seine eigenen Programme nur noch qualifiziert aufruft.
Mal sehen, wer dann so auf die Nase fällt und sich wundern tut;-).

Und ich sach noch:
Früher war alles viel einfacher und weniger Energie wurde auch verbraucht.

[Pikachu]

IBM-Programme aus QSYS rufen intern IBM-Programme aus QSYS auf meistens über den SEPT oder qualifiziert mit Bibliothek QSYS aber bei diesem Fehler wohl ein IBM-Programm über die Bibliotheksliste. Hier soll aber niemand einen Effekt erreichen können da eine erhöhte Berechtigung im Spiel ist.

[Fuerchau]

Nun, wer das Paket Infor-XPPS (Brain, Rembold+Holzer) kennt, der sollte auch hier die größte Sicherheitslücke kennen:
Mittels Programm XXUSER kann man den aktuellen Job auf jeden x-beliebigen User switchen, natürlich auch QSECOFR.
Einfach "call xxuser qsecofr". Mit "call xxuser ' '" kommt man wieder zurück und das ganz ohne Kennwort!

Da nun mal jedes Programm, dessen Parameter man kennt, auch per SQL aufrufen kann, kann man sich ja gut vorstellen, dass man auch via ODBC ein riesiges, zusätzliches, Scheunentor findet.
Zumal der Aufruf von QCMDEXC mittels Wrapper-Prozedur ja auch ohne Längenberechnung möglich ist.

Da finde ich den obigen IBM-Fehler ja geradezu lachhaft, oder hat den mal irgendwer bemerkt?

[holgerscherer]

Nun, wer das Paket Infor-XPPS (Brain, Rembold+Holzer) kennt, der sollte auch hier die größte Sicherheitslücke kennen:

schrottige Software fliegt spätestens beim Audit raus. Aber da viele ja glauben, die "AS/400 ist von Haus aus sicher", trauen sich da nicht viele.
Wer sowas betreibt oder selbst so lange verbiegt, bis alles läuft, gehört einfach nur geschlagen.

[BenderD]

schrottige Software fliegt spätestens beim Audit raus. Aber da viele ja glauben, die "AS/400 ist von Haus aus sicher", trauen sich da nicht viele.
Wer sowas betreibt oder selbst so lange verbiegt, bis alles läuft, gehört einfach nur geschlagen.

... mutig, mutig! Da fliegt RPG als erstes raus. Ein RPG Pointer weiß nicht, auf was er da zeigt und Parameter-Übergabe erfolgt bei reference, was nichts anderes ist als ein weitergegebener Pointer. Das aufgerufene Programm darf dann mit dieser Adresse (fast) alles machen, was es für richtig hält; jedenfalls im Speicher der aufrufenden Programme rummalen, wo es ihm beliebt.
Und komme man jetzt nicht mit den Prototypen beim call; das hilft wenig, solange man die schmutzbuckeligen Programme ohne oder mit gefaketen Prototypen erstellen kann.

D*B