VULHUB ™

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。 在设置DB2INSTANCE环境变量的时候，libdb2库会使用相关用户的目录而不是DB2例程目录，这会允许本地非特权用户控制一些set-uid root二进制程序所操作的目录结构。 该漏洞是由于db2pd二进制程序加载库的方式所导致的。程序会通过将例程目录的路径连接到静态字符串/SQLlib/lib/libdb2fmtdmp.so来创建到所要加载库的路径，如果攻击者将DB2INSTANCE环境变量设置为自己的用户名，二进制程序就会加载用户目录中的库。

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。 在设置DB2INSTANCE环境变量的时候，libdb2库会使用相关用户的目录而不是DB2例程目录，这会允许本地非特权用户控制一些set-uid root二进制程序所操作的目录结构。 该漏洞是由于db2pd二进制程序加载库的方式所导致的。程序会通过将例程目录的路径连接到静态字符串/SQLlib/lib/libdb2fmtdmp.so来创建到所要加载库的路径，如果攻击者将DB2INSTANCE环境变量设置为自己的用户名，二进制程序就会加载用户目录中的库。