IBM DB2 9.7 < FP11 40162 / 10.1 < FP6 40161 / 10.5 < FP11 40160 / 11.1 < FP5 40159 / 11.5 < Mod 4 FP0 多個弱點 (UNIX)

high Nessus Plugin ID 138332

語系：

概要

遠端資料庫伺服器受到多個弱點影響。

說明

根據其版本，遠端主機上的 IBM DB2 安裝版本是 Fix Pack 11 特殊版本 40162 之前的 9.7 版、Fix Pack 6 特殊版本 40161 之前的 10.1 版、Fix Pack 11 特殊版本 40160 之前的 10.5 版，或 Fix Pack 5 特殊版本 40159 之前的 11.1 版、Mod 4 Fix Pack 0 之前的 11.5 版，因此受到下列一個或多個弱點影響：

- Linux 版、UNIX 版和 Windows 版 IBM DB2 (包括 DB2 Connect Server) 9.7、10.1、10.5、11.1 和 11.5 容易受到拒絕服務影響，這是未正確處理安全通訊端層 (SSL) 重新交涉要求所致。遠端攻擊者可傳送特別建構的要求，從而利用此弱點增加系統上的資源使用量。(CVE-2020-4355)

- IBM DB2 Linux 版、UNIX 版和 Windows 版（包括 DB2 連線伺服器）9.7、10.1、10.5、11.1 和 11.5 容易出現緩衝區溢位，這是因為邊界檢查不當所致，從而使本機攻擊者能夠以 root 權限在系統中執行任意程式碼。(CVE-2020-4363)

- 本機使用者可透過 Linux 版、UNIX 版和 Windows 版 IBM DB2 (包括 DB2 Connect Server) 9.7、10.1、10.5、11.1 和 11.5，使用符號連結的爭用情形獲取敏感資訊。(CVE-2020-4386、CVE-2020-4387)

- IBM DB2 Linux 版、UNIX 版和 Windows 版（包括 DB2 連線伺服器）9.7、10.1、10.5、11.1 和 11.5 使本機攻擊者能夠在系統中執行未經授權的動作，這是因為不當使用共用記憶體所致。
攻擊者可傳送特別建構的要求，從而利用此弱點取得敏感資訊或造成拒絕服務 (DoS)。(CVE-2020-4414)

- 未經驗證的攻擊者可透過 Linux 版、UNIX 版和 Windows 版 IBM DB2 (包括 DB2 Connect Server) 9.7、10.1、10.5、11.1 和 11.5 造成拒絕服務，這是執行終止命令時發生懸置所致。(CVE-2020-4420) 請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼。