Összefoglaló
Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.
Leírás
Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.
- A sérülékenységet a TLS protokoll munkafolyamat újraegyeztetés folyamán fellépő hibája okozza. Ez középreállás (Man-in-the-Middle) támadással kihasználható tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens adatot küldene a már létező TLS munkamenetben. A sérülékenység sikeres kiaknázása tetszőleges HTTP kérés elküldését teheti lehetővé hitelesítésként, ha a szerveren tanúsítvány alapú hitelesítést használnak.
- Egy hiba a REPEAT függvény implementációjában kihasználható puffer túlcsordulás okozására és a DB2 szerver összeomlásának előidézésére.
A sérülékenységeket a 9.1 Fix Pack 9-nél korábbi verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Hijacking (Visszaélés)Other (Egyéb)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 39500
SECUNIA 37291
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
CVE-2009-3555 - NVD CVE-2009-3555
CVE-2010-1560 - NVD CVE-2010-1560