IBM DB2 10.5 < Fix Pack 7 複数の脆弱性(Bar Mitzvah)(FREAK)(Logjam)

high Nessus プラグイン ID 87765
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートデータベースサーバーは、複数の脆弱性の影響を受けます。

説明

バージョンによると、リモートホストで実行されている IBM DB2 10.5 は Fix Pack 7 以前です。したがって、次の脆弱性の影響を受けます:

- FREAK(RSA-EXPORT キーに対するファクター攻撃)と呼ばれるセキュリティ機能のバイパスの脆弱性が存在します。これは、512 ビッド以下のキーで弱い EXPORT_RSA 暗号化パッケージがサポートされているため、存在します。中間者攻撃により、EXPORT_RSA 暗号化パッケージを使用するように SSL/TLS 接続をダウングレードすることができ、これは短時間でファクタリング可能であり、攻撃者がトラフィックを傍受したり復号したりするおそれがあります。(CVE-2015-0204)

- 指定された曲線が無効なバイナリ多項式フィールドを超えたときに発生する無限ループにより、ECParameters 構造体の処理時にサービス拒否の脆弱性が存在します。リモートの攻撃者はこれを悪用して公開鍵、証明書リクエストまたは証明書を処理するシステムすべてに対してサービス拒否を行うことができます。これには、クライアント認証の有効化された TLS クライアントや TLS サーバーが含まれます。(CVE-2015-1788)

- 信頼できない検索パス欠陥が原因で、権限昇格の脆弱性が存在しています。ローカルの攻撃者が setuid や setgid プロセスによりロードされる特別に細工されたライブラリを介してこれを悪用し、システム上で昇格した権限を取得する恐れがあります。(CVE-2015-1947)

- 初期化フェーズの RC4 暗号化アルゴリズムによる、キーデータと状態データの不適切な組み合わせにより、Bar Mitzvah として知られるセキュリティ機能バイパスの脆弱性が存在しています。中間者攻撃を行う攻撃者はこれを悪用して、LSB 値を用いたブルートフォース攻撃によりトラフィックを復号化できます。(CVE-2015-2808)

- SSL/TLS プロトコルの欠陥により、 Logjam として知られる中間者の脆弱性が存在しています。リモートの攻撃者はこの欠陥を悪用して、エフェメラルディフィー・ヘルマン鍵交換を使用している接続を 512 ビットエクスポートグレードの暗号化にダウングレードさせることができます。(CVE-2015-4000)

注意:これらの脆弱性のうちいくつかは、バンドルされている GSKit コンポーネントおよび組み込み FCM 4.1 ライブラリが原因です。

ソリューション

IBM DB2 バージョン 10.5 Fix Pack 7 または以降を適用してください。

関連情報

https://www-01.ibm.com/support/docview.wss?uid=swg21647054#7

https://www-01.ibm.com/support/docview.wss?uid=swg1IT07394

https://www-01.ibm.com/support/docview.wss?uid=swg1IT08753

https://www-01.ibm.com/support/docview.wss?uid=swg1IT09900

https://www-01.ibm.com/support/docview.wss?uid=swg1IT09964

https://www-01.ibm.com/support/docview.wss?uid=swg1IT09969

http://www.nessus.org/u?4bbf45ac

https://www.smacktls.com/#freak

https://weakdh.org/

プラグインの詳細

深刻度: High

ID: 87765

ファイル名: db2_105fp7_win.nasl

バージョン: 1.10

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2016/1/6

更新日: 2018/11/15

依存関係: db2_and_db2_connect_installed.nbin

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 6.9

Temporal Score: 5.3

ベクトル: AV:L/AC:M/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:TF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.4

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:T/RC:C

脆弱性情報

CPE: cpe:/a:ibm:db2

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/12/30

脆弱性公開日: 2015/1/6

参照情報

CVE: CVE-2015-0204, CVE-2015-1788, CVE-2015-1947, CVE-2015-2808, CVE-2015-4000

BID: 71936, 73684, 74733, 75158, 79693

CERT: 243585