Множественные уязвимости в IBM DB2

Дата публикации:
04.06.2010
Дата изменения:
04.06.2010
Всего просмотров:
1248
Опасность:
Средняя
Наличие исправления:
Да
Количество уязвимостей:
3
CVSSv2 рейтинг:
(AV:N/AC:M/Au:N/C:C/I:C/A:N/E:P/RL:O/RC:C) = Base:8.8/Temporal:6.9
(AV:A/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:O/RC:C) = Base:2.9/Temporal:2.1
(AV:A/AC:L/Au:N/C:C/I:N/A:N/E:U/RL:O/RC:C) = Base:6.1/Temporal:4.5
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
IBM DB2 9.x
Уязвимые версии: IBM DB2 версии до 9.7 Fix Pack 2

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, произвести неавторизованное изменение данных и получить доступ к важной информации на системе.

1. Уязвимость существует из-за ошибки в TLS протоколе при обработке повторных переговоров сессии. Удаленный пользователь может внедрить произвольный текст в TLS сессию посредством атаки «человек посередине». Подробное описание уязвимости:
www.securitylab.ru/vulnerability/387421.php

2. Уязвимость существует из-за ошибки при повторном создании базовых объектов, которая приводит к тому, что системные привилегии не предоставляются владельцу вида для базового объекта, если конфигурационный параметр базы данных "AUTO_REVAL" установлен в значение "IMMEDIATE".

3. Уязвимость существует из-за того, что Monitor Administrative Views в "SYSIBMADM SCHEMA" является публично доступным.

URL производителя: www-306.ibm.com/software/data/db2/9/

Решение: Установите последнюю версию 9.7 Fix Pack 2 с сайта производителя.

Ссылки: Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.7 Fix Pack 2

или введите имя

CAPTCHA