IBM DB2 < 9 Fix Pack 5 多個弱點
critical Nessus Plugin ID 33128
語系:
概要
遠端資料庫伺服器受到多個弱點影響。說明
根據其版本來判斷,遠端主機上執行的 IBM DB2 受到以下一或多個問題影響:- 一個與「DB2FMP」處理程序相關的不明安全性弱點。(IZ20352)
- 在 Windows 上,「DB2FMP」處理程序是以作業系統權限執行。(JR30026)
- IBM Database Add-Ins for Visual Studio 的 CLR 預存程序部署功能可用來提升權限,或對 DB2 伺服器發動拒絕服務攻擊。(JR28432)
- 在記憶體傾印中,用來連線至資料庫的密碼能夠以純文字形式查看。(JR27422)
-「SQLRLAKA()」中可能存在堆疊變數滿溢問題。(IZ16346)
- 藉由建立檔案造成的本機權限提升弱點可導致 Root 層級存取。(IZ12735)
- 可能存在涉及「XQUERY」、「XMLQUERY」、「XMLEXISTS」和「XMLTABLE」的緩衝區溢位弱點。(IZ18434)
- 特製的用戶端 CONNECT 要求可造成伺服器當機。(IZ07299)
- DAS 伺服器程式碼中有一個不明的遠端緩衝區溢位弱點。(IZ22188)
- INSTALL_JAR 可用於建立或覆寫重要的系統檔案。(IZ21983)
解決方案
套用 IBM DB2 版本 9 Fix Pack 5 或更新版本。另請參閱
https://www.securityfocus.com/archive/1/496406/30/0/threaded
https://www.securityfocus.com/archive/1/496405/30/0/threaded
https://www-01.ibm.com/support/docview.wss?uid=swg21255607
https://www-01.ibm.com/support/docview.wss?uid=swg1IZ20352
https://www-01.ibm.com/support/docview.wss?uid=swg1JR30026
https://www-01.ibm.com/support/docview.wss?uid=swg1JR28432
https://www-01.ibm.com/support/docview.wss?uid=swg1IZ12735
https://www-01.ibm.com/support/docview.wss?uid=swg1JR27422
https://www-01.ibm.com/support/docview.wss?uid=swg1IZ16346
https://www-01.ibm.com/support/docview.wss?uid=swg1IZ18434
https://www-01.ibm.com/support/docview.wss?uid=swg1IZ07299
Plugin 詳細資訊
嚴重性: Critical
ID: 33128
檔案名稱: db2_9fp5.nasl
版本: 1.28
類型: remote
系列: Databases
已發布: 2008/6/10
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:ibm:db2
可輕鬆利用: No known exploits are available
參考資訊
CVE: CVE-2008-2154, CVE-2008-3852, CVE-2008-3854, CVE-2008-3855, CVE-2008-3856, CVE-2008-3857, CVE-2008-6821