IBM DB2 adatmódosítás és puffer túlcsordulás sérülékenységek

CH azonosító

CH-3075

Felfedezés dátuma

2010.04.22.

Súlyosság

Alacsony

Érintett rendszerek

DB2
IBM

Érintett verziók

IBM DB2 9.x

Összefoglaló

Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.

Leírás

Az IBM DB2 két olyan sérülékenységét jelentették, amelyeket kihasználva rosszindulatú felhasználók szolgáltatás megtagadást (DoS) okozhatnak és a támadók megváltoztathatnak bizonyos adatokat.

  1. A sérülékenységet a TLS protokoll munkafolyamat újraegyeztetés folyamán fellépő hibája okozza. Ez középreállás (Man-in-the-Middle) támadással kihasználható tetszőleges kódolatlan szöveg beszúrására, mielőtt a valódi kliens adatot küldene a már létező TLS munkamenetben. A sérülékenység sikeres kiaknázása tetszőleges HTTP kérés elküldését teheti lehetővé hitelesítésként, ha a szerveren tanúsítvány alapú hitelesítést használnak.
  2. Egy hiba a REPEAT függvény implementációjában kihasználható puffer túlcsordulás okozására és a DB2 szerver összeomlásának előidézésére.

A sérülékenységeket a 9.1 Fix Pack 9-nél korábbi verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat