IBM DB2 9.7 <= Fix Pack 10 の複数の脆弱性

high Nessus プラグイン ID 84828

Language:

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

バージョンによると、リモートホストで実行されている IBM DB2 9.7 は Fix Pack 10 または以前です。したがって、以下の複数の脆弱性による影響を受けます：

- XML/XSLT 関数で SELECT ステートメントを処理する際に詳細不明のエラーが存在します。これによりリモートの攻撃者が任意のファイルへアクセスすることが可能です。
(CVE-2014-8910)

- 未特定のスケーラー機能で SQL ステートメントを処理する際に、LUW コンポーネントに欠陥が存在します。認証されているリモートの攻撃者がこれを悪用して、サービス拒否を引き起こすことがあります。(CVE-2015-0157)

- 自動メンテナンス機能に、情報漏洩の脆弱性が存在します。権限を昇格した攻撃者が、保存されている手順を操作することにより、この問題を悪用し、 UNIX/Linux で DB2 によって囲われた ID または Windows の管理者が所有する任意のファイルを、漏洩することがあります。(CVE-2015-1883)

- 特別に細工されたクエリを処理するときに、Data Movement 機能に欠陥が存在します。認証されていないリモートの攻撃者が、これを悪用して、適切な権限なしにデータベースの行をテーブルから削除することが可能です。
(CVE-2015-1922)

- 詳細不明な LUW スケーラー機能のある SQL ステートメントの処理中に、欠陥が存在します。認証されているリモートの攻撃者が、これを悪用し、DB2 インスタンスの所有者の権限で任意のコードを実行したり、サービス拒否を引き起こすことが可能です。(CVE-2015-1935)