Ejecución de código en Informix Dynamic Server de IBM

BM Informix Dynamic Server es un servidor estratégico de datos, cuya principal misión es servir al procesamiento de transacciones en redes distribuidas OLTP (online transaction processing). Goza de una reputada trayectoria en factores como el rendimiento y la reducción de tiempos de no disponibilidad. Por lo que es habitual encontrar instalaciones de Informix en entornos corporativos, especialmente en aquellos en los que se penaliza severamente el factor "downtime", por considerarse inadmisible: banca electrónica, aerolíneas, comercio electrónico a gran escala, etc.

A modo de resumen, los problemas solucionados son los siguientes:

* Múltiples errores de desbordamiento de memoria intermedia en la librería RPC (librpc.dll) que podrían resultar en la ejecución remota de código si se envían paquetes RPC especialmente manipulados al puerto 36890, donde escucha el ISM Portmapper service (portmap.exe).

* Un problema de falta de comprobación de signo durante la autenticación también en la librería librpc.dll que podría causar otro desbordamiento de memoria intermedia basado en pila y que podría ser aprovechado por un atacante remoto de la misma forma que el anterior.

Los fallos se dan en las versiones anteriores a IDS 10.00.TC9 y IDS 11.10.TC3.