IBM DB2 < 9 Fix Pack 3 / 8 Fix Pack 15 多個弱點

critical Nessus Plugin ID 25905

語系：

概要

遠端資料庫伺服器受到多個弱點影響。

說明

根據其版本來判斷，遠端主機上安裝的 IBM DB2 受到以下一或多個問題影響：

- 本機使用者透過符號連結攻擊或特製的環境變數，或可覆寫任意檔案、建立任何人皆可寫入的目錄，或取得 Root 權限。(IY98210 / IY99261)

- 即使已撤銷方法的權限，使用者仍可繼續執行此方法。
(IY88226，僅限版本 8)

- DB2 以 Root 身分執行的同時執行可執行檔時，有一個不明問題會造成權限提升。(IY98206 / IY98176)

- 有一個與錯誤授權常式相關的不明弱點。(JR25940，僅限版本 8)

-「AUTH_LIST_GROUPS_FOR_AUTHID」中有一個不明弱點。(IZ01828，僅限版本 9.1)

-「db2licm」和「db2pd」工具中有一個不明弱點。(IY97922 / IY97936)

- 有一個與「db2licd」以及「OSSEMEMDBG」和「TRC_LOG_FILE」環境變數有關的不明弱點。(IY98011 / IY98101)

- 有一個涉及「DASPROF」環境變數的緩衝區溢位弱點。(IY97346 / IY99311)

- 在執行個體和 FMP 啟動期間可能會出現一個不明弱點。(IZ01923 / IZ02067)

- 由於內部 sprintf() 呼叫中有一個堆疊溢位弱點，DB2JDS 服務可能會允許使用者執行任意程式碼而不需要驗證。
(IY97750，僅限版本 8)

- DB2JDS 服務受到兩個拒絕服務問題影響，藉由包含無效 LANG 參數的封包或長封包可觸發這些問題，進而造成處理程序終止 (僅限版本 8)。

請注意，目前沒有足夠的資訊來判斷第一組問題在多大程度上與其他問題重疊。