IBM DB2 10.5 <= Fix Pack 5 の複数の脆弱性

critical Nessus プラグイン ID 84827

Language:

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

そのバージョンによると、リモートホストで実行中の IBM DB2 のインストールは、バージョン 10.5 Fix Pack 5 または以前です。そのため、以下の脆弱性の 1 つまたは複数の影響を受けます。

- XML/XSLT 関数で SELECT ステートメントを処理する際に詳細不明のエラーが存在します。これによりリモートの攻撃者が任意のファイルへアクセスすることが可能です。
(CVE-2014-8910)

- 未特定のスケーラー機能で SQL ステートメントを処理する際に、LUW コンポーネントに欠陥が存在します。認証されているリモートの攻撃者がこれを悪用して、サービス拒否を引き起こすことがあります。(CVE-2015-0157)

- General Parallel File System（GPFS）にある未特定の欠陥により、ローカルの攻撃者が root 権限を取得できます。
CVE-2015-0197）

- General Parallel File System（GPFS）に特定の cipherList 構成に関連する欠陥が存在します。これにより、リモートの攻撃者が、特別に細工されたデータを使用して、認証をバイパスし、任意のプログラムを root 権限で実行することが可能です。(CVE-2015-0198)

- General Parallel File System（GPFS）にサービス拒否脆弱性が存在します。これによりローカルの攻撃者が、細工された ioctl 文字デバイス呼び出しを mmfslinux カーネルモジュールに送信することにより、カーネルメモリを破損できます。
(CVE-2015-0199)

- 自動メンテナンス機能に、情報漏洩の脆弱性が存在します。権限を昇格した攻撃者が、保存されている手順を操作することにより、この問題を悪用し、 UNIX/Linux で DB2 によって囲われた ID または Windows の管理者が所有する任意のファイルを、漏洩することがあります。(CVE-2015-1883)

- 特別に細工されたクエリを処理するときに、Data Movement 機能に欠陥が存在します。認証されていないリモートの攻撃者が、これを悪用して、適切な権限なしにデータベースの行をテーブルから削除することが可能です。
(CVE-2015-1922)

- 詳細不明な LUW スケーラー機能のある SQL ステートメントの処理中に、欠陥が存在します。認証されているリモートの攻撃者が、これを悪用し、DB2 インスタンスの所有者の権限で任意のコードを実行したり、サービス拒否を引き起こすことが可能です。(CVE-2015-1935)