FLASH - Sicherheitslücke in IBM i DB2 - schnell mal PTF laden

[BenderD]

Interessant finde ich ja folgenden Hinweis:

Important note: IBM recommends that all users running unsupported versions of affected products upgrade to supported and fixed version of affected products.

Wie erstelle ich nun eine fixed version, wenn nicht beschrieben ist was ich tun oder vermeiden sollte?

... du erstellst keine "fixed version", die sollst Du von IBM kaufen. Sprich: V7R2 aufwärts und die PTFs installieren. Ob dieser alert eine Marketing Aktion von IBM ist, mag ich nicht beurteilen.
Für Programme mit adopted Authority gilt ganz unabhängig davon, dass solche Programme keine calls über libl machen dürfen. Dieses offene Scheunentor findet man auf fast allen Installationen, insbesondere in Shops, die auf den sogenannten Menüschutz bauen.

D*B

[Fuerchau]

State of the art war halt schon immer, dass per LIBL schnell Test- und/oder Mandanten- oder Versionssystem aufgebaut werden konnten.
Was anderes ist ja auch nicht die "PATH"-Variable in Linux/Windows oder CLASSPATH für Java.
Warum soll das nun für SQL auf einmal schlecht sein?
Wenn es danach ginge dürfte man aus Sicherheitsgründen schon keine PATH-Variable haben sondern jede Anwendung zwingen, Calls außerhalb des eigenen Anwendungspfades explizit qualiizieren zu müssen.
Danach funktioniert dann erst mal überhaupt nichts.

Die Eingangsfrage: "was muss ich anderes machen um nach Einsatz des PTFs nicht auf der Nase zu liegen" ist immer noch nicht beantwortet. Auch mit IBM-ID findet man keine nennenswerten Hinweise.

Muss ich jetzt Prozeduren oder Funktionen immer explizit mit Lib aufrufen?
Quasi "select MyLib/MyFunction(f1) from MyLib/MyTable"?
Der Nachteil ist ja, dass Libnamen wie Tabellennamen nicht parametrierbar und nur per dynamic SQL änderbar sind.

[BenderD]

State of the art war halt schon immer, dass per LIBL schnell Test- und/oder Mandanten- oder Versionssystem aufgebaut werden konnten.
Was anderes ist ja auch nicht die "PATH"-Variable in Linux/Windows oder CLASSPATH für Java.
Warum soll das nun für SQL auf einmal schlecht sein?
Wenn es danach ginge dürfte man aus Sicherheitsgründen schon keine PATH-Variable haben sondern jede Anwendung zwingen, Calls außerhalb des eigenen Anwendungspfades explizit qualiizieren zu müssen.
Danach funktioniert dann erst mal überhaupt nichts.

Die Eingangsfrage: "was muss ich anderes machen um nach Einsatz des PTFs nicht auf der Nase zu liegen" ist immer noch nicht beantwortet. Auch mit IBM-ID findet man keine nennenswerten Hinweise.

Muss ich jetzt Prozeduren oder Funktionen immer explizit mit Lib aufrufen?
Quasi "select MyLib/MyFunction(f1) from MyLib/MyTable"?
Der Nachteil ist ja, dass Libnamen wie Tabellennamen nicht parametrierbar und nur per dynamic SQL änderbar sind.

... das Problem ist nicht der Aufgerufene, sondern der Aufrufer! Wenn ein Programm, das unter Privilegien läuft, ein anderes Benutzerprogramm nach libl aufruft, kann letzteres umgelenkt werden und ein Programm eingeklinkt werden, das z.B. Privilegien dauerhaft propagiert. Sprich: Aufruf nach libl ist nicht das Problem, sondern Programme, die Berechtigungen tragen und vererben, müssen kontrollieren, was sie da aufrufen.

D*B