CERTA-2005-AVI-077

Vulnerability from certfr_avis - Published: 2005-02-15 - Updated: 2005-02-15

De nombreuses vulnérabilités découvertes dans IBM DB2 peuvent être exploitées par un utilisateur mal intentionnné présent sur le réseau local afin d'exécuter du code arbitraire, d'effectuer un déni de service ou de porter atteinte à la confidentialité ou à l'intégrité des données présentes sur le système vulnérable.

Description

L'application DB2 d'IBM est une base de données pour les systèmes d'exploitation Linux, UNIX et Windows.

Cette application présente de multiples vulnérabilités :

  • La version Windows de l'application DB2 d'IBM présente une vulnérabilité dans la méthode utilisée pour gérer les ressources du système. Cette vulnérabilité permet à un utilisateur local mal intentionné d'effectuer un déni de service et de porter atteinte à la confidentialité et à l'intégrité des données ;
  • une vulnérabilité découverte dans le traitement des messages réseaux lors d'une connection à la base de donnée permet à une personne malveillante d'exécuter du code arbitraire ;
  • une vulnérabilité affectant certaines fonctions XML-Extender permet à un utilisateur mal intentionnné de porter atteinte à la confidentialité et à l'intégrité des données ;
  • une vulnérabilité présente lors de la création de certains objets de la base de données permet à un individu malveillant d'exécuter du code arbitraire.

Les vulnérabilités citées ci-dessus ne peuvent être exploitées que si l'option ``federated database support'' est activée.

Certaines fonctions XML(eXtensible Markup Language) présentent une vulnérabilité qui permet à un utilisateur mal intentionné d'exécuter du code arbitraire sur le système vulnérable.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs.

DB2 Universal Database 8.x.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eDB2 Universal Database 8.x.\u003c/P\u003e",
  "content": "## Description\n\nL\u0027application DB2 d\u0027IBM est une base de donn\u00e9es pour les syst\u00e8mes\nd\u0027exploitation Linux, UNIX et Windows.\n\nCette application pr\u00e9sente de multiples vuln\u00e9rabilit\u00e9s :\n\n-   La version Windows de l\u0027application DB2 d\u0027IBM pr\u00e9sente une\n    vuln\u00e9rabilit\u00e9 dans la m\u00e9thode utilis\u00e9e pour g\u00e9rer les ressources du\n    syst\u00e8me. Cette vuln\u00e9rabilit\u00e9 permet \u00e0 un utilisateur local mal\n    intentionn\u00e9 d\u0027effectuer un d\u00e9ni de service et de porter atteinte \u00e0\n    la confidentialit\u00e9 et \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es ;\n-   une vuln\u00e9rabilit\u00e9 d\u00e9couverte dans le traitement des messages r\u00e9seaux\n    lors d\u0027une connection \u00e0 la base de donn\u00e9e permet \u00e0 une personne\n    malveillante d\u0027ex\u00e9cuter du code arbitraire ;\n-   une vuln\u00e9rabilit\u00e9 affectant certaines fonctions XML-Extender permet\n    \u00e0 un utilisateur mal intentionnn\u00e9 de porter atteinte \u00e0 la\n    confidentialit\u00e9 et \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es ;\n-   une vuln\u00e9rabilit\u00e9 pr\u00e9sente lors de la cr\u00e9ation de certains objets de\n    la base de donn\u00e9es permet \u00e0 un individu malveillant d\u0027ex\u00e9cuter du\n    code arbitraire.\n\nLes vuln\u00e9rabilit\u00e9s cit\u00e9es ci-dessus ne peuvent \u00eatre exploit\u00e9es que si\nl\u0027option \\`\\`federated database support\u0027\u0027 est activ\u00e9e.\n\nCertaines fonctions XML(eXtensible Markup Language) pr\u00e9sentent une\nvuln\u00e9rabilit\u00e9 qui permet \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du\ncode arbitraire sur le syst\u00e8me vuln\u00e9rable.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs.\n",
  "cves": [],
  "initial_release_date": "2005-02-15T00:00:00",
  "last_revision_date": "2005-02-15T00:00:00",
  "links": [
    {
      "title": "Correctifs fournit par l\u0027\u00e9diteur :",
      "url": "http://www-306.ibm.com/software/data/db2/udb/support/downloadv8.html"
    }
  ],
  "reference": "CERTA-2005-AVI-077",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2005-02-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire"
    },
    {
      "description": "D\u00e9ni de service"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "De nombreuses vuln\u00e9rabilit\u00e9s d\u00e9couvertes dans IBM DB2 peuvent \u00eatre\nexploit\u00e9es par un utilisateur mal intentionnn\u00e9 pr\u00e9sent sur le r\u00e9seau\nlocal afin d\u0027ex\u00e9cuter du code arbitraire, d\u0027effectuer un d\u00e9ni de service\nou de porter atteinte \u00e0 la confidentialit\u00e9 ou \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es\npr\u00e9sentes sur le syst\u00e8me vuln\u00e9rable.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans IBM DB2",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 IBM n\u02da1196289 du 20 janvier 2005",
      "url": "http://www-1.ibm.com/support/docview.wss?uid=swg21196289"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.