IBM DB2 szolgáltatás megtagadás és jogosultság szerzés sérülékenységek

CH azonosító

CH-1869

Felfedezés dátuma

2009.01.13.

Súlyosság

Alacsony

Érintett rendszerek

DB2
IBM

Érintett verziók

IBM DB2 9.x

Összefoglaló

Néhány sérülékenység vált ismerté az IBM DB2 szoftverben, amit kihasználva rosszindulatú, helyi felhasználók bizonyos parancsokat emelt szintű jogosultsággal hajthatnak végre, valamint rosszindulatú felhasználók és támadók szolgáltatás megtagadást (DoS) okozhatnak.

Leírás

Néhány sérülékenység vált ismerté az IBM DB2 szoftverben, amit kihasználva rosszindulatú, helyi felhasználók bizonyos parancsokat emelt szintű jogosultsággal hajthatnak végre, valamint rosszindulatú felhasználók és támadók szolgáltatás megtagadást (DoS) okozhatnak.

  1. Egy meghatározhatatlan hiba végtelen ciklust idézhet elő egy szabálytalan “CONNECT” adatfolyam feldolgozásakor. Ez kihasználható a szerver leállítására.
  2. Egy meghatározhatatlan hiba jelentkezik egy bizonyos szabálytalan adatfolyam feldolgozásakor. Ez kihasználható a szerver leállítására.

    A sebezhetőség kihasználásához érvényes felhasználói hozzáférés szükséges.
  3. A sérülékenységeket a 9.1 FP6a és a 9.5FP3a előtti verziókban jelentették.

  4. Az “INSTHOME/sqllib/adm” könyvtárban több állománynál be van állítva a setgid bit. Ezt kihasználva egyes parancsokat emelt szintű csoport jogosultsággal lehet futtatni.

    A sérülékenységet a 9.1 FP6 előtti verziókban jelentették.

  5. A DAS beazonosítatlan sebezhetőségét kihasználva root szintű jogosultság szerezhető és tetszőleges fájl írható.

    A sérülékenységet a 9.5 FP3 előtti verziókban jelentették.

Megoldás

Telepítse a javítócsomagokat