IBM DB2 9.7 < Fix Pack 2 複数の脆弱性

medium Nessus プラグイン ID 46766

Language:

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

バージョンによって、リモートホストで実行する IBM DB2 9.7 のインストールは、1 つまたは複数の以下の問題の影響を受けます。

- 定義者がオブジェクトを維持するために必要な権限を失った場合、「MODIFIED SQL DATA」テーブル関数がドロップされません。（IC63548）

- DB2STST プログラムに権限昇格脆弱性があります（Linux および Unix プラットフォームのみ）。（IC65742）

- 悪意のあるユーザーが、DB2DART プログラムを使って、インスタンスのオーナーが所有するファイルを上書きする可能性があります。（IC65762）

- スカラー関数 REPEAT にバッファオーバーフローが含まれています。悪意のあるユーザーが有効なデータベース接続を使用して操作し、DB2 サーバーのトラップを引き起こす可能性があります。（IC65935）

- DB2 サーバーまたは DB2 Administrator Server（DAS）が Windows 2008 で実行されている場合、グループおよびユーザーの特殊な列挙操作がトラップする可能性があります。（IC66643）

- ユーザーの DBADM 権限が剥奪された後でもDDL 以外のステートメントを実行することが可能です。（IC66815）

- データベース構成パラメーター「AUTO_REVAL」が「IMMEDIATE」に設定されると、システム付与の権限は再生成されません。（IC67008）

- SYSIBMADM スキーマで利用可能な「Monitor Administrative Views」がパブリックで表示可能です。（IC67819）

- セッションの再ネゴシエーションなどの SSL v3 / TLS プロトコルの弱点により、攻撃者が、アプリケーションプロトコルストリームの先頭に任意の量の平文を挿入することで、中間者攻撃を容易にできる可能性があります。（IC68055）

- 特別に細工されたパケットを、デフォルトで TCP ポート 6014 でリッスンする Tivoli Monitoring Agent（KUDDB2）に送信することで、サービス拒否状態が発生する可能性があります。（IC68762）