検出

IBM DB2 9.7 < FP11 40162 / 10.1 <FP6 40161 / 10.5 < FP11 40160 / 11.1 <FP5 40159 / 11.5 <Mod 4 FP0 の複数の脆弱性 (UNIX)

high Nessus プラグイン ID 138332

Language:

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

バージョンによると、リモートホストで実行しているIBM DB2のインストールは、Fix Pack 11 Special Build 40162より前の9.7、Fix Pack 6 Special Build 40161より前の10.1、Fix Pack 11 Special Build 40160より前の10.5、Fix Pack 5 Special Build 40159より前の11.1、Mod 4 Fix Pack 0より前の11.5のいずれかです。したがって、1つ以上の次の脆弱性の影響を受けます。

 - IBM DB2 for Linux、UNIX、Windows(DB2 Connect Serverを含む)9.7、10.1、10.5、11.1、11.5は、Secure Sockets Layer(SSL)再ネゴシエーションの不適切なリクエスト処理によるサービス拒否に脆弱です。リモートの攻撃者が、巧妙に作りこまれたリクエストを送信することでこの脆弱性を悪用し、システムのリソース使用率を増大させる可能性があります。(CVE-2020-4355)

 -IBM DB2 for Linux、UNIX、Windows(DB2 Connect Serverを含む)9.7、10.1、10.5、11.1、11.5は、バッファオーバーフローに対して脆弱です。これは、不適切な境界チェックが原因で、ローカルの攻撃者がroot権限を使ってシステムで任意のコードを実行できるためです。(CVE-2020-4363)

 -IBM DB2 for Linux、UNIX、Windows(DB2 Connect Serverを含む)9.7、10.1、10.5、11.1、11.5により、ローカルユーザーは、シンボリックリンクの競合状態を利用して機密情報を取得することが可能です。(CVE-2020-4386、CVE-2020-4387)

 -IBM DB2 for Linux、UNIX、Windows(DB2 Connect Serverを含む)9.7、10.1、10.5、11.1、11.5により、共有メモリの不適切な使用により、ローカルの攻撃者が認証されていないアクションをシステムで実行する可能性があります。
 攻撃者が巧妙に作りこまれたリクエストを送信することでこの脆弱性を悪用し、機密情報を入手したりサービス拒否(DoS)を引き起こしたりする可能性があります。(CVE-2020-4414)

 - IBM DB2 for Linux、UNIX、Windows(DB2 Connect Serverを含む)9.7、10.1、10.5、11.1、11.5により、認証されていない攻撃者が、終了コマンド実行のハングによりサービス拒否を引き起こす可能性があります。(CVE-2020-4420)Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ頼っていることに注意してください。

ソリューション

お使いのブランチの最新のFix Packレベルに基づいて、適切なIBM DB2 Fix PackまたはSpecial Buildを適用してください。

参考資料

https://www.ibm.com/support/pages/node/6242342

https://www.ibm.com/support/pages/node/6242332

https://www.ibm.com/support/pages/node/6242336

https://www.ibm.com/support/pages/node/6242350

https://www.ibm.com/support/pages/node/6242356

https://www.ibm.com/support/pages/node/6242362

プラグインの詳細

深刻度: High

ID: 138332

ファイル名: db2_1154_nix.nasl

バージョン: 1.8

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Databases

公開日: 2020/7/9

更新日: 2022/7/26

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2020-4363

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:db2

必要な KB アイテム: installed_sw/DB2 Server

除外される KB アイテム: SMB/db2/Installed

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/6/30

脆弱性公開日: 2020/6/30

参照情報

CVE: CVE-2020-4355, CVE-2020-4363, CVE-2020-4386, CVE-2020-4387, CVE-2020-4414, CVE-2020-4420

IAVB: 2020-B-0035-S, 2020-B-0043-S