IBM DB2 9.7 < Fix Pack 3 多個弱點
medium Nessus Plugin ID 50451
語系:
概要
遠端資料庫伺服器受到多個弱點影響。說明
根據其版本,遠端主機上執行的 IBM DB2 9.7 安裝程式為 Fix Pack 3 之前版本。因此,會受到下列一個或多個問題影響:- 從 PUBLIC 撤銷資料庫物件上的權限時,相依函式未標記為 INVALID。
因此,具有函式執行權限的使用者仍可成功呼叫它。
(IC68015)
- 如果獲得適當授權的使用者發出複合 SQL (已編譯) 陳述式,這會快取於動態 SQL 快取中。一旦快取後,任何使用者只要具有適當權限,即可執行相同查詢。(IC70406)
- 「db2dasrrm」元件中的多個弱點可允許任意程式碼執行。(IC70539/IC72029)
解決方案
套用 IBM DB2 9.7 版 Fix Pack 3 或更新版本。另請參閱
https://www.zerodayinitiative.com/advisories/ZDI-11-035/
https://seclists.org/fulldisclosure/2011/Jan/582
https://www.zerodayinitiative.com/advisories/ZDI-11-036/
https://seclists.org/fulldisclosure/2011/Jan/583
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70539
Plugin 詳細資訊
嚴重性: Medium
ID: 50451
檔案名稱: db2_97fp3.nasl
版本: 1.26
類型: remote
系列: Databases
已發布: 2010/11/2
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 5
時間分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
風險因素: Medium
基本分數: 5.3
時間分數: 4.6
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:ibm:db2
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2010/9/30
弱點發布日期: 2010/9/14
參考資訊
CVE: CVE-2010-3474, CVE-2010-3475, CVE-2010-3731, CVE-2011-0731
SECUNIA: 41444