IBM DB2 9.5 < Fix Pack 7 多个漏洞
critical Nessus 插件 ID 51841
语言:
简介
远程数据库服务器受到多个漏洞的影响。描述
根据其版本,远程主机上运行的 IBM DB2 9.5 安装版本低于 Fix Pack 7。因此,该数据库受到以下漏洞的影响:- 这些版本包含的“db2dasrrm”组件无法对用户提供的输入执行足够的边界检查,攻击者可利用此漏洞使缓冲区溢出,这有可能导致在远程系统中执行任意代码。(IC72028)
- “关系数据服务”组件中存在不明错误,攻击者可利用此错误,从而在没有适当权限的情况下更新表格的统计数据。(IC71413)
-“关系数据服务”组件中存在错误,使用户可获取执行非 DDL 语句的权限(即使已从组中撤消其角色成员资格)。
(IC71263)
解决方案
应用 IBM DB2 版本 9.5 Fix Pack 7 或更高版本。另见
https://www.zerodayinitiative.com/advisories/ZDI-11-036/
https://seclists.org/fulldisclosure/2011/Jan/583
https://www-01.ibm.com/support/docview.wss?uid=swg1IC72028
https://www-304.ibm.com/support/docview.wss?uid=swg21293566#7
插件详情
严重性: Critical
ID: 51841
文件名: db2_95fp7.nasl
版本: 1.22
类型: remote
系列: Databases
发布时间: 2011/2/1
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:ibm:db2
易利用性: No known exploits are available
补丁发布日期: 2010/12/13
漏洞发布日期: 2011/1/31