Összefoglaló
Néhány sérülékenység vált ismerté az IBM DB2 szoftverben, amit kihasználva rosszindulatú, helyi felhasználók bizonyos parancsokat emelt szintű jogosultsággal hajthatnak végre, valamint rosszindulatú felhasználók és támadók szolgáltatás megtagadást (DoS) okozhatnak.
Leírás
Néhány sérülékenység vált ismerté az IBM DB2 szoftverben, amit kihasználva rosszindulatú, helyi felhasználók bizonyos parancsokat emelt szintű jogosultsággal hajthatnak végre, valamint rosszindulatú felhasználók és támadók szolgáltatás megtagadást (DoS) okozhatnak.
- Egy meghatározhatatlan hiba végtelen ciklust idézhet elő egy szabálytalan “CONNECT” adatfolyam feldolgozásakor. Ez kihasználható a szerver leállítására.
-
Egy meghatározhatatlan hiba jelentkezik egy bizonyos szabálytalan adatfolyam feldolgozásakor. Ez kihasználható a szerver leállítására.
A sebezhetőség kihasználásához érvényes felhasználói hozzáférés szükséges. -
Az “INSTHOME/sqllib/adm” könyvtárban több állománynál be van állítva a setgid bit. Ezt kihasználva egyes parancsokat emelt szintű csoport jogosultsággal lehet futtatni.
A sérülékenységet a 9.1 FP6 előtti verziókban jelentették.
-
A DAS beazonosítatlan sebezhetőségét kihasználva root szintű jogosultság szerezhető és tetszőleges fájl írható.
A sérülékenységet a 9.5 FP3 előtti verziókban jelentették.
A sérülékenységeket a 9.1 FP6a és a 9.5FP3a előtti verziókban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Other (Egyéb)Unknown (Ismeretlen)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: www-01.ibm.com
Gyártói referencia: www-01.ibm.com
SECUNIA 33529
CVE-2009-0172 - NVD CVE-2009-0172
CVE-2009-0173 - NVD CVE-2009-0173
