IBM DB2 9.7 <= Fix Pack 3 多个漏洞
medium Nessus 插件 ID 50451
语言:
简介
远程数据库服务器受到多个漏洞的影响。描述
根据其版本,远程主机上运行的 IBM DB2 9.7 安装版本低于 Fix Pack 3a。因此,该数据库受到以下一个或多个问题的影响:- 从 PUBLIC 撤销数据库对象上的权限时,相依函数未标记为 INVALID。
因此,具有函数执行权限的用户仍可成功调用它。
(IC68015)
- 如果获得适当授权的用户发布复合 SQL(已编译)语句,这会缓存于动态 SQL 缓存中。缓存后,任何用户只要具有适当权限,即可执行相同的查询。(IC70406)
- 可通过“db2dasrrm”组件中的多个漏洞执行任意代码。(IC70539 / IC72029)
解决方案
应用 IBM DB2 版 9.7 Fix Pack 3 或更高版本。另见
https://www.zerodayinitiative.com/advisories/ZDI-11-035/
https://seclists.org/fulldisclosure/2011/Jan/582
https://www.zerodayinitiative.com/advisories/ZDI-11-036/
https://seclists.org/fulldisclosure/2011/Jan/583
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70539
插件详情
严重性: Medium
ID: 50451
文件名: db2_97fp3.nasl
版本: 1.26
类型: remote
系列: Databases
发布时间: 2010/11/2
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:ibm:db2
易利用性: No known exploits are available
补丁发布日期: 2010/9/30
漏洞发布日期: 2010/9/14
参考资料信息
CVE: CVE-2010-3474, CVE-2010-3475, CVE-2010-3731, CVE-2011-0731
SECUNIA: 41444