Security Lab

Множественные уязвимости в IBM DB2

Дата публикации:22.10.2008
Всего просмотров:2064
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2008-4691
CVE-2008-4692
CVE-2008-4693
Вектор эксплуатации: Удаленная
Воздействие: Отказ в обслуживании
Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: IBM DB2 Universal Database 8.x
IBM DB2 9.x
Уязвимые версии:
DB2 Enterprise Server Edition версии 8.1, 8.2, 9.1 и 9.5
DB2 Workgroup Server (все версии)
DB2 Express Server (все версии)
DB2 Personal Edition версии 8.1, 8.2, 9.1 и 9.5
DB2 Connect Server (все версии)

Описание:
Обнаруженные уязвимости позволяют удаленному пользователю обойти некоторые ограничения безопасности, получить доступ к важным данным и вызвать отказ в обслуживании.

1. Уязвимость существует из-за неизвестной ошибки в функции "SQLNLS_UNPADDEDCHARLEN()", которая позволяет вызвать ошибку сегментации в DB2 сервере. Уязвимости подвержена версия 9.1.

2. Уязвимость существует из-за того, что виды и триггеры не сбрасываются или помечаются как недееспособные в Native Managed Provider for .NET, если определитель не способен управлять объектами. Уязвимости подвержены версии 8.1, 8.2, 9.1 и 9.5.

3. Уязвимость существует из-за неизвестной ошибки в Sort/List службах, которая позволяет раскрыть пароли, относящиеся к строкам подключения. Уязвимости подвержены версии 9.1 и 9.5.

URL производителя: www-306.ibm.com/software/data/db2/9/

Решение: Установите исправление 8.1FP17, 8.2FP10, 9.1 FP6 или 9.5FP2 с сайта производителя.

Ссылки: http://www-01.ibm.com/support/docview.wss?uid=swg27013892
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/aparlist/db2_v91/APARLIST.TXT