Összefoglaló
Több sérülékenységet találtak az IBM DB2 adatbázis kezelőben, amelyek közül egy ismeretlen hatású, a többit kihasználva bizalmas információkhoz lehet jutni és manipulálni lehet bizonyos adatokat,
Leírás
Több sérülékenységet találtak az IBM DB2 adatbázis kezelőben, amelyek közül egy ismeretlen hatású, a többit kihasználva bizalmas információkhoz lehet jutni és manipulálni lehet bizonyos adatokat,
- A sérülékenységet a TLS protokoll munkafázis újraegyeztetés alatt fellépő hibája okozza. Ezt kihasználható tetszőleges kódolatlan szöveg beszúrására egy középreállás (Man-in-the-Middle) támadással, egy már létező TLS munkamenetbe.
- Az általános (base) objektumok újragenerálásakor a hozzájuk tartozó nézetek (view) tulajdonosai nem kapják meg újra az objektumhoz tartozó rendszer jogosultságokat, amennyiben az “AUTO_REVAL” adatbázis konfiguráció paraméter “IMMEDIATE” értékre van állítva.
- A Monitor Administrative Views a “SYSIBMADM SCHEMA”-ban mindenki számára olvasható.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Hijacking (Visszaélés)Misconfiguration (Konfiguráció)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2009-3555 - NVD CVE-2009-3555
SECUNIA 40003
SECUNIA 37291
Gyártói referencia: www-01.ibm.com