FLASH - Sicherheitslücke in IBM i DB2 - schnell mal PTF laden

[Fuerchau]

State of the art war halt schon immer, dass per LIBL schnell Test- und/oder Mandanten- oder Versionssystem aufgebaut werden konnten.
Was anderes ist ja auch nicht die "PATH"-Variable in Linux/Windows oder CLASSPATH für Java.
Warum soll das nun für SQL auf einmal schlecht sein?
Wenn es danach ginge dürfte man aus Sicherheitsgründen schon keine PATH-Variable haben sondern jede Anwendung zwingen, Calls außerhalb des eigenen Anwendungspfades explizit qualiizieren zu müssen.
Danach funktioniert dann erst mal überhaupt nichts.

Die Eingangsfrage: "was muss ich anderes machen um nach Einsatz des PTFs nicht auf der Nase zu liegen" ist immer noch nicht beantwortet. Auch mit IBM-ID findet man keine nennenswerten Hinweise.

Muss ich jetzt Prozeduren oder Funktionen immer explizit mit Lib aufrufen?
Quasi "select MyLib/MyFunction(f1) from MyLib/MyTable"?
Der Nachteil ist ja, dass Libnamen wie Tabellennamen nicht parametrierbar und nur per dynamic SQL änderbar sind.

[BenderD]

State of the art war halt schon immer, dass per LIBL schnell Test- und/oder Mandanten- oder Versionssystem aufgebaut werden konnten.
Was anderes ist ja auch nicht die "PATH"-Variable in Linux/Windows oder CLASSPATH für Java.
Warum soll das nun für SQL auf einmal schlecht sein?
Wenn es danach ginge dürfte man aus Sicherheitsgründen schon keine PATH-Variable haben sondern jede Anwendung zwingen, Calls außerhalb des eigenen Anwendungspfades explizit qualiizieren zu müssen.
Danach funktioniert dann erst mal überhaupt nichts.

Die Eingangsfrage: "was muss ich anderes machen um nach Einsatz des PTFs nicht auf der Nase zu liegen" ist immer noch nicht beantwortet. Auch mit IBM-ID findet man keine nennenswerten Hinweise.

Muss ich jetzt Prozeduren oder Funktionen immer explizit mit Lib aufrufen?
Quasi "select MyLib/MyFunction(f1) from MyLib/MyTable"?
Der Nachteil ist ja, dass Libnamen wie Tabellennamen nicht parametrierbar und nur per dynamic SQL änderbar sind.

... das Problem ist nicht der Aufgerufene, sondern der Aufrufer! Wenn ein Programm, das unter Privilegien läuft, ein anderes Benutzerprogramm nach libl aufruft, kann letzteres umgelenkt werden und ein Programm eingeklinkt werden, das z.B. Privilegien dauerhaft propagiert. Sprich: Aufruf nach libl ist nicht das Problem, sondern Programme, die Berechtigungen tragen und vererben, müssen kontrollieren, was sie da aufrufen.

D*B