Security Lab

Несколько уязвимостей в IBM DB2

Дата публикации:04.02.2008
Дата изменения:07.04.2008
Всего просмотров:1851
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2007-3676
CVE-2007-5757
CVE-2008-0696
CVE-2008-0697
CVE-2008-0698
CVE-2008-0699
CVE-2008-1997
CVE-2008-3959
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Повышение привилегий
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM DB2 Universal Database 8.x
Уязвимые версии: IBM DB2 Universal Database версии до 8.2 Fixpak 16

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности, повысить свои привилегии и вызвать отказ в обслуживании.

1. Уязвимость существует из-за неизвестной ошибки в утилите DB2PD. Локальный пользователь может получить root привилегии на системе.

2. Уязвимость существует из-за ошибки проверки границ данных в DAS сервере. Удаленный пользователь может отправить специально сформированный пакет на порт 523/TCP и вызвать повреждение памяти.

3. Уязвимость существует из-за ошибки в механизме SYSPROC.ADMIN_SP_C. Подробности уязвимости не сообщаются.

4. Уязвимость существует из-за ошибки при обработке "ALTER TABLE" запросов. Злоумышленник может обойти некоторые ограничения безопасности.

5. Уязвимость существует из-за того, что утилита DB2DART выполняет команду "TPUT" и позволяет пользователю выполнить произвольные команды от имени владельца экземпляра DB2.

6. Уязвимость существует из-за неизвестной ошибки в DB2WATCH, DB2FREEZE и некоторых setuid приложениях. Подробности уязвимости не сообщаются.

7. Уязвимость существует из-за неизвестной ошибки при обработке SQLJRA пакетов. Удаленный пользователь может с помощью специально сформированного SQLJRA пакетов аварийно завершить работу экземпляра DB2.

8. Уязвимость существует из-за неизвестной ошибки в SYSPROC.NNSTAT. Подробности уязвимости не сообщаются.

9. Уязвимость существует из-за неизвестной ошибки в механизме управления JAR файлами. Подробности уязвимости не сообщаются.

URL производителя: www-3.ibm.com/software/data/db2/

Решение: Установите последнюю версию с сайта производителя. Установите исправление 8.2 Fixpak 16.

Журнал изменений:


07.04.2008
Изменена секция "Решение".
Изменено описание уязвимости.