IBM DB2 9.7 <= Fix Pack 10 多种漏洞

high Nessus 插件 ID 84828

简介

远程数据库服务器受到多种漏洞的影响。

描述

根据其版本,远程主机上运行的 IBM DB2 9.7 安装版本低于或等于 Fix Pack 10。因此,它受到多种漏洞的影响:

- 处理使用 XML/XSLT 函数的 SELECT 语句时存在不明错误,远程攻击者可利用此错误获得对任意文件的访问权限。
(CVE-2014-8910)

- 处理使用不明 Scaler 函数的 SQL 语句期间,在 LUW 组件中存在缺陷。经过认证的远程攻击者可利用此缺陷造成拒绝服务。(CVE-2015-0157)

- 自动维护功能中存在信息泄露漏洞。通过操纵存储过程,具有提升权限的攻击者可利用此问题泄露 UNIX/Linux 中的 DB2 隔离 ID 或 Windows 中的管理员拥有的任意文件。(CVE-2015-1883)

- 处理特别构建的查询时,数据移动功能中存在缺陷。经过认证的远程攻击者可利用此缺陷从表中删除数据库行,而无需拥有相应权限。
(CVE-2015-1922)

- 在处理带有不明 LUW Scaler 函数的 SQL 语句时存在缺陷。经过认证的远程攻击者可以利用此缺陷以 DB2 实例所有者的权限运行任意代码或造成拒绝服务。(CVE-2015-1935)

解决方案

请联系供应商以获取带有临时补丁的特殊版本。

另见

http://www-01.ibm.com/support/docview.wss?uid=swg24040935

https://www-304.ibm.com/support/docview.wss?uid=swg21697987

https://www-304.ibm.com/support/docview.wss?uid=swg21697988

https://www-304.ibm.com/support/docview.wss?uid=swg21698308

https://www-304.ibm.com/support/docview.wss?uid=swg21959650

http://www-01.ibm.com/support/docview.wss?uid=swg21902661

http://www.nessus.org/u?4bbf45ac

https://www.imperialviolet.org/2014/12/08/poodleagain.html

https://www.smacktls.com/#freak

插件详情

严重性: High

ID: 84828

文件名: db2_97fp10_multi_vuln.nasl

版本: 1.15

类型: remote

系列: Databases

发布时间: 2015/7/18

最近更新时间: 2022/4/11

配置: 启用全面检查 (optional)

支持的传感器: Nessus

风险信息

VPR

风险因素: High

分数: 7.3

CVSS v2

风险因素: High

基本分数: 8

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:C

CVSS v3

风险因素: High

基本分数: 7.6

时间分数: 6.6

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:ibm:db2

易利用性: No known exploits are available

补丁发布日期: 2015/7/10

漏洞发布日期: 2014/12/8

参考资料信息

CVE: CVE-2014-0919, CVE-2014-6209, CVE-2014-6210, CVE-2014-8730, CVE-2014-8901, CVE-2014-8910, CVE-2015-0138, CVE-2015-0157, CVE-2015-1788, CVE-2015-1883, CVE-2015-1922, CVE-2015-1935, CVE-2015-2808

BID: 71549, 71729, 71730, 71734, 73326, 73684, 74217, 75158, 75908, 75911, 75946, 75947, 75949

CERT: 243585