検出

IBM DB2 9.7 < Fix Pack 9 複数の脆弱性

critical Nessus プラグイン ID 71519

Language:

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

バージョンによると、リモートホストで実行されている IBM DB2 9.7 は Fix Pack 9 以前です。そのため、以下の脆弱性の 1 つまたは複数の影響を受けます。

- 同梱されたソフトウェアの GSKit には、SSL および TLS に関連するいくつかのエラーが含まれています。これにより、サービス拒否、情報漏洩、または任意の root 証明機関の証明書の未承認挿入が発生する可能性があります。(CVE-2012-2190、CVE-2012-2191、CVE-2012-2203、CVE-2013-0169/IC90395)

- 「db2aud」および「db2flacc」に関連するスタックベースのバッファオーバーフローが存在します。これにより、ローカルの攻撃者が、権限をインスタンス所有者の権限へと昇格することが可能です。「db2aud」の問題は、Windows OS のインストールには影響しません。(CVE-2013-3475/ IC92495)

- 攻撃者がデータベーステーブルに対する SELECT、INSERT、UPDATE、または DELETE 権限を取得することを可能にする、詳細不明なエラーが存在します。悪用を成功させるためには、EXPLAIN、SQLADM、または DBADM の権限が必要です。
 (CVE-2013-4033/ IC94523)

- NULL ポインターが逆参照されることを可能にする、XSLT パーサーに関連するエラーが存在します。(CVE-2013-5466/ IC97470)

- 認証されたリモートの攻撃者が、データベース接続を閉じて、データベースを非アクティブ化することを可能にする、OLAP 仕様を含むクエリに関連するエラーが存在します。(CVE-2013-6717/ IC95641)

ソリューション

IBM DB2 バージョン 9.7 Fix Pack 9 または以降を適用してください。

参考資料

http://www-01.ibm.com/support/docview.wss?uid=swg21450666#9

http://www-01.ibm.com/support/docview.wss?uid=swg24036646

プラグインの詳細

深刻度: Critical

ID: 71519

ファイル名: db2_97fp9.nasl

バージョン: 1.16

タイプ: remote

ファミリー: Databases

公開日: 2013/12/18

更新日: 2022/4/11

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2012-2203

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:ibm:db2

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/12/13

脆弱性公開日: 2012/7/30

参照情報

CVE: CVE-2012-2190, CVE-2012-2191, CVE-2012-2203, CVE-2013-3475, CVE-2013-4033, CVE-2013-5466, CVE-2013-6717

BID: 54743, 55185, 57778, 60255, 62018, 64334, 64336