Összefoglaló
Több sérülékenységet találtak az IBM DB2-ben, amelyek között van ismeretlen hatású, másokat kihasználva rosszindulatú felhasználók emelt szintű jogosultsággal hajthatnak végre bizonyos parancsokat, illetve támadók szolgáltatás megtagadást okozhatnak vagy föltörhetik a sebezhető rendszert.
Leírás
Több sérülékenységet találtak az IBM DB2-ben, amelyek között van ismeretlen hatású, másokat kihasználva rosszindulatú felhasználók emelt szintű jogosultsággal hajthatnak végre bizonyos parancsokat, illetve támadók szolgáltatás megtagadást okozhatnak vagy föltörhetik a sebezhető rendszert.
- Egy meg nem határozott hibát kihasználva a CONNECT és ATTACH kérések feldolgozása közben, szolgáltatás megtagadást lehet előidézni.
- Egy meg nem határozott hiba kapcsolódik DB2FMP folyamathoz. További információk jelenleg nincsenek.
- Egy meg nem határozott hiba a DB2JDS szolgáltatásban kihasználható arra, hogy speciális csomagok segítségével, rendszer összeomlást lehessen előidézni.
- A DAS szerver egy hibáját kihasználva puffer túlcsordulást lehet előidézni, ami szolgáltatás megtagadást vagy tetszőleges kód futtatását eredményezheti.
- Az INSTALL_JAR egy hibáját kihasználva tetszőleges fájlokat lehet létrehozni vagy fölülírni a rendszeren.
- A különböző nézeteket és indítókat nem dobja el és jelöli működés képtelennek a Native Managed Provider for .NET, ha nem tudja kezelni az objektumokat.
A sérülékenységek az IBM DB2 8 Fixpak 17 előtti verzióit érintik.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Input manipulation (Bemenet módosítás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
VENDOR:ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/aparlist/db2_v82/APARLIST.TXT
CVE-2008-3960 - NVD CVE-2008-3960
CVE-2008-2154 - NVD CVE-2008-2154
CVE-2008-3958 - NVD CVE-2008-3958
SECUNIA 29784
SECUNIA 31787