Plusieurs vulnérabilités ont été identifiées dans IBM DB2, elles pourraient être exploitées par des attaquants afin de contourner les mesures de sécurité, causer un déni de service ou compromettre un système vulnérable.
Le premier problème résulte d'une erreur inconnue liée à certaines procédures CLR.
La seconde faille est due à une erreur de conception liée à la présence, en texte clair au sein de la mémoire, du mot de passe de la base de données.
La troisième vulnérabilité résulte d'un débordement de mémoire présent dans "SQLRLAKA()", ce qui pourrait être exploité afin d'exécuter un code arbitraire.
La quatrième faille est due à une erreur inconnue de création de fichier dans le serveur admin, ce qui pourrait permettre à des attaquants locaux d'obtenir des privilèges "root".
Le cinquième problème résulte de débordements de mémoire présents dans XQUERY, XMLQUERY, XMLEXISTS et XMLTABLE, ce qui pourrait être exploité afin d'exécuter un code arbitraire.
D'autres corruptions de mémoire et dénis de service potentiels ont été identifiés.
Crédit
Vulnérabilités découvertes par l'éditeur.
Historique
2008-06-09 : Version Initiale
Recevez les bulletins FrSIRT
Le service FrSIRT VNS permet aux professionnels de la sécurité (RSSI, DSI, administrateurs et consultants) de recevoir en temps-réel, par email, SMS et flux RSS/XML, des bulletins de vulnérabilités complets, détaillés et personnalisés.
