IBM DB2 9.1 < Fix Pack 9 多种漏洞

medium Nessus 插件 ID 46173
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程数据库服务器受到多个问题的影响。

描述

根据其版本,远程主机中运行安装的 IBM DB2 9.1 版本受到一个或多个以下问题的影响:- 定义者丢失维护对象所需的权限时,未释放“MODIFIED SQL DATA”表函数。(IZ46773) - DB2STST 程序中存在权限提升漏洞(仅在 Linux 和 Unix 平台上)。(IC65408) - 恶意用户可以使用 DB2DART 程序覆盖实例所有者拥有的文件。(IC65749) -“REPEAT”标量函数中存在一个堆溢出漏洞。可有效连接数据库的远程攻击者可利用此问题,以数据库服务操作所需权限执行任意代码。(IC65922) - 在 Windows 2008 中运行时,DB2 服务器或 DB2 管理服务器 (DAS) 中的特定组和用户枚举操作可能存在漏洞。(IC66099) - 涉及会话重新协商的 SSL v3 / TLS 协议中存在一个弱点,导致攻击者可以将任意数量的明文插入应用程序协议流的开头,以便于他们发动中间人攻击。(IC67848)

解决方案

应用 IBM DB2 版 9.1 Fix Pack 9 或更高版本。

另见

http://intevydis.blogspot.com/2010/01/ibm-db2-97-heap-overflow.html

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ46773

http://www-01.ibm.com/support/docview.wss?uid=swg1IC65408

http://www-01.ibm.com/support/docview.wss?uid=swg1IC65749

http://www-01.ibm.com/support/docview.wss?uid=swg1IC65922

http://www-01.ibm.com/support/docview.wss?uid=swg1IC66099

http://www-01.ibm.com/support/docview.wss?uid=swg1IC67848

http://www-01.ibm.com/support/docview.wss?uid=swg21426108

插件详情

严重性: Medium

ID: 46173

文件名: db2_9fp9.nasl

版本: 1.21

类型: remote

系列: Databases

发布时间: 2010/4/28

最近更新时间: 2018/7/9

依存关系: db2_das_detect.nasl

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 6.5

时间分数: 5.1

矢量: AV:N/AC:L/Au:S/C:P/I:P/A:P

时间矢量: E:POC/RL:OF/RC:C

CVSS v3

风险因素: Medium

基本分数: 6.3

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

时间矢量: E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:ibm:db2

可利用: true

易利用性: Exploits are available

补丁发布日期: 2010/4/22

漏洞发布日期: 2010/1/27

参考资料信息

CVE: CVE-2009-3471, CVE-2009-3555, CVE-2010-0462, CVE-2010-3193, CVE-2010-3194, CVE-2010-3195

BID: 36540, 36935, 37976

CWE: 119, 310