IBM DB2 9.7 < Fix Pack 3複数の脆弱性
medium Nessus プラグイン ID 50451
Language:
概要
リモートのデータベースサーバーは、複数の脆弱性の影響を受けます。説明
バージョンによると、リモートホストで実行されているIBM DB29.7のインストールは、Fix Pack 3より前のものです。したがって、以下の1つ以上の問題の影響を受けます。- データベースオブジェクトの権限が PUBLIC から取り消された場合、依存する関数が INVALID とマークされません。
結果として、関数で権限を実行できるユーザーが、正常に呼び出しを行うことができます。
(IC68015)
- コンパウンド SQL(コンパイル済み)ステートメントが、適切に権限の与えられているユーザーにより発行された場合、これは動的 SQL キャッシュでキャッシュされます。一旦キャッシュされると、ユーザーが適切な権限を保有している場合、この同一クエリは任意のユーザーにより実行されます。(IC70406)
「db2dasrrm」コンポーネントの複数の脆弱性によって、任意のコードが実行される可能性があります。(IC70539 / IC72029)
ソリューション
IBM DB2 バージョン 9.7 Fix Pack 3以降を適用してください。参考資料
https://www.zerodayinitiative.com/advisories/ZDI-11-035/
https://seclists.org/fulldisclosure/2011/Jan/582
https://www.zerodayinitiative.com/advisories/ZDI-11-036/
https://seclists.org/fulldisclosure/2011/Jan/583
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70539
プラグインの詳細
深刻度: Medium
ID: 50451
ファイル名: db2_97fp3.nasl
バージョン: 1.26
タイプ: remote
ファミリー: Databases
公開日: 2010/11/2
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 5.3
現状値: 4.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:ibm:db2
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2010/9/30
脆弱性公開日: 2010/9/14
参照情報
CVE: CVE-2010-3474, CVE-2010-3475, CVE-2010-3731, CVE-2011-0731
SECUNIA: 41444