跳至主內容

IBM DB2 多個漏洞

最後更新 2012年06月26日 12:08 發佈日期: 2012年06月26日 2422 觀看次數

風險: 中度風險

類型: 伺服器 - 數據庫伺服器

類型: 數據庫伺服器

在IBM DB2伺服器發現多個漏洞。惡意的使用者可利用漏洞,提升權限,洩露敏感資料及導致系統終止。

  1. IBM DB2伺服器產品的漏洞,允許特製的DRDA請求,導致破壞伺服器。
    Distributed Relational Database Architecture(DRDA)中處理的DRDA鏈模組存在漏洞。 認識DRDA的惡意使用者可發送特製的請求到一個數據庫伺服器,造成系統終止。
  2. IBM DB2 XML功能的漏洞,允許遠端攻擊者查看DB2實例擁有者的XML文件。
    一個在DB2 XML功能的漏洞,允許惡意的遠端使用者利用和查看DB2實例擁有者的XML文件。要利用此漏洞,使用者需要有有效的安全憑據,CONNECT 權限到數據庫,並需要執行一個特製的SQL語句。
  3. IBM DB2 漏洞允許經過身份驗證的使用者查看他們沒有權限查看的數據表。
    一個漏洞允許經過身份驗證的使用者查看他們沒有權限查看的數據表。要利用此漏洞,使用者需要有有效的安全憑據來連接到數據庫,並執行特製的SQL語句。要執行的SQL語句,用戶需要的CREATEIN的數據庫權限。

影響

  • 阻斷服務
  • 權限提升
  • 資料洩露

受影響之系統或技術

以下在 AIX, Linux, HP, Solaris 及 視窗運行的 IBM DB2 DB2 V9.5 及 V9.7 版本:

  • IBM DB2 9.7 Express Edition
  • IBM DB2 9.7 Workgroup Server Edition
  • IBM DB2 9.7 Enterprise Server Edition
  • IBM DB2 9.7 Advanced Enterprise Server Edition
  • IBM DB2 Connect 9.7 Application Server Edition
  • IBM DB2 Connect 9.7 Enterprise Edition
  • IBM DB2 Connect 9.7 Unlimited Edition for System i
  • IBM DB2 Connect 9.7 Unlimited Edition for System z
  • IBM DB2 9.5 Express Edition
  • IBM DB2 9.5 Workgroup Server Edition
  • IBM DB2 9.5 Enterprise Server Edition
  • IBM DB2 9.5 Advanced Enterprise Server Edition
  • IBM DB2 Connect 9.5 Application Server Edition
  • IBM DB2 Connect 9.5 Enterprise Edition
  • IBM DB2 Connect 9.5 Unlimited Edition for System i
  • IBM DB2 Connect 9.5 Unlimited Edition for System z

以下在 AIX及 Linux運行的 IBM V9.8 版本:

  • IBM DB2 pureScale Feature for Enterprise Server Edition

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 緩解措施
    要利用此漏洞,使用者需要連接到數據庫,並執行特製的SQL語句。因此,取消 PUBLIC 的 CONNECT 權限,可減低利用此漏洞的機會。

漏洞識別碼


資料來源


相關連結