IBM DB2 adatmódosítás és puffer túlcsordulás sérülékenységek

CH azonosító

CH-3075

Felfedezés dátuma

2010.04.22.

Súlyosság

Alacsony

Érintett rendszerek

DB2
IBM

Érintett verziók

IBM DB2 9.x

Összefoglaló

Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.

Leírás

Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.

  1. A sérülékenységet a TLS protokoll munkafolyamat újraegyeztetés folyamán fellépő hibája okozza. Ez középreállás (Man-in-the-Middle) támadással kihasználható tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens adatot küldene a már létező TLS munkamenetben. A sérülékenység sikeres kiaknázása tetszőleges HTTP kérés elküldését teheti lehetővé hitelesítésként, ha a szerveren tanúsítvány alapú hitelesítést használnak.
  2. Egy hiba a REPEAT függvény implementációjában kihasználható puffer túlcsordulás okozására és a DB2 szerver összeomlásának előidézésére.

A sérülékenységeket a 9.1 Fix Pack 9-nél korábbi verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »