検出

IBM DB2 8 < Fix Pack 17の複数の脆弱性

critical Nessus プラグイン ID 34195

Language:

概要

リモートデータベースサーバーは、複数の問題の影響を受けます。

説明

バージョンによって、リモートホストで実行されているIBM DB2 8のインストールは、次の問題の影響を受けます。

 - 悪意のあるDB2 UDB v7クライアントのCONNECT/DETACHリクエストを送信することで、リモートDB2サーバーをクラッシュできることがあります。(IZ08134)

 -「DB2FMP」プロセスの所有者の切り替え失敗によってUnix/Linuxプラットフォームでセキュリティ脆弱性が生じる可能性があります。(IZ20350)

 - DASサーバーコードは、バッファオーバーフロー脆弱性の影響を受けます。(IZ22004)

 - INSTALL_JARを使用すると、システム上で重要なファイルを作成および上書きできる可能性があります。(IZ22142)

 - DB2は、定義者がオブジェクトを維持できない場合に、作動不能とマークしないか、ビューおよびトリガーをドロップします。(IZ22287)

 - 悪意のあるパケットを「DB2JDS」に送信することで、リモートDB2サーバーをクラッシュできることがあります。(JR29274)

 - Windowsで実行中に、「DB2FMP」がOS権限で実行されます。(JR30228)

ソリューション

IBM DB2 UDBバージョン 8 Fix Pack 17以降を適用してください。

参考資料

http://www-1.ibm.com/support/docview.wss?uid=swg21255352

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ08134

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ20350

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ22004

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ22142

http://www-01.ibm.com/support/docview.wss?uid=swg1IZ22287

http://www-01.ibm.com/support/docview.wss?uid=swg1JR29274

http://www-01.ibm.com/support/docview.wss?uid=swg1JR30228

プラグインの詳細

深刻度: Critical

ID: 34195

ファイル名: db2_8fp17.nasl

バージョン: 1.22

タイプ: remote

ファミリー: Databases

公開日: 2008/9/12

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:db2

エクスプロイトの容易さ: No known exploits are available

参照情報

CVE: CVE-2008-2154, CVE-2008-3856, CVE-2008-3958, CVE-2008-3960, CVE-2008-6820, CVE-2008-6821

BID: 31058, 35408, 35409

CWE: 119, 16, 20, 264

SECUNIA: 31787