雲安全日報201010:IBM DB2發現執行任意代碼特權漏洞,需要盡快升級
2020年10月10日15:21

原標題:雲安全日報201010:IBM DB2發現執行任意代碼特權漏洞,需要盡快升級

IBM DB2 是美國IBM公司開發的一套關係型數據庫管理系統,它主要的運行環境為UNIX(包括IBM自家的AIX)、Linux、IBM i(舊稱OS/400)、z/OS,以及Windows服務器版本。10月9日,IBM發佈安全公告,IBM DB2發現執行任意代碼特權高危漏洞,需要盡快升級。以下是漏洞詳情:

漏洞詳情

1.CVEID:CVE-2020-4363 CVSS評分: 8.4 高危

適用於Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)容易受到緩衝區溢出的影響,這是由不正確的邊界檢查引起的,邊界檢查可能允許本地攻擊者使用root用戶在系統上執行任意代碼特權。

2.CVEID:CVE-2020-4420 CVSS評分:7.5 高

適用於Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)可能允許未經身份驗證的攻擊者由於執行終止命令而掛起,從而導致拒絕服務。

3.CVEID:CVE-2020-4386,CVE-2020-4387 CVSS評分:6.2 中

用於Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)可以允許本地用戶使用符號鏈接的競爭條件獲得敏感信息。

4.CVEID:CVE-2020-4355 CVSS評分:5.3 中

適用於Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)容易受到拒絕服務的攻擊,這是由於對安全套接字層(SSL)重新協商請求的處理不當造成的。通過發送特製的請求,遠程攻擊者可以利用此漏洞來增加系統上的資源使用率。

5.CVEID:CVE-2020-4414 CVSS評分:5.1 中

適用於Linux,UNIX和Windows的IBM DB2(包括DB2 Connect服務器)可能允許本地攻擊者由於共享內存使用不當而對系統執行未經授權的操作。通過發送特製請求,攻擊者可以利用此漏洞來獲取敏感信息或導致拒絕服務。

受影響產品和版本

所有平台上的IBM Db2 V9.7,V10.1,V10.5,V11.1和V11.5版本的所有修訂包級別均受到影響。

解決方案

運行受影響程式的任何易受攻擊的修訂包級別的客戶都可以從Fix Central下載包含此問題的臨時修訂的特殊版本。根據每個受影響的發行版的最新修訂包級別,可以提供這些特殊版本:V9.7 FP11,V10.1 FP6,V10.5 FP11、11.1 FP5和V11.5 GA。它們可以應用於適當版本的任何受影響的修訂包級別,以修復此漏洞。

查看更多漏洞信息 以及升級請訪問官網:

https://www.ibm.com/blogs/psirt/

視頻精選
更多新聞