IBM DB2 adatmódosítás és puffer túlcsordulás sérülékenységek

CH azonosító

CH-3075

Felfedezés dátuma

2010.04.22.

Súlyosság

Alacsony

Érintett rendszerek

DB2
IBM

Érintett verziók

IBM DB2 9.x

Összefoglaló

Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.

Leírás

Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.

  1. A sérülékenységet a TLS protokoll munkafolyamat újraegyeztetés folyamán fellépő hibája okozza. Ez középreállás (Man-in-the-Middle) támadással kihasználható tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens adatot küldene a már létező TLS munkamenetben. A sérülékenység sikeres kiaknázása tetszőleges HTTP kérés elküldését teheti lehetővé hitelesítésként, ha a szerveren tanúsítvány alapú hitelesítést használnak.
  2. Egy hiba a REPEAT függvény implementációjában kihasználható puffer túlcsordulás okozására és a DB2 szerver összeomlásának előidézésére.

A sérülékenységeket a 9.1 Fix Pack 9-nél korábbi verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Hijacking (Visszaélés)
Other (Egyéb)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

SECUNIA 39500
SECUNIA 37291
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
CVE-2009-3555 - NVD CVE-2009-3555
CVE-2010-1560 - NVD CVE-2010-1560


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
Tovább a sérülékenységekhez »