CERT-FI haavoittuvuustiedote 063/2004

7.9.2004

Haavoittuvuuksia IBM DB2 -tietokantaohjelmistossa

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

IBM DB2 Universal on suosittu erityisesti laajoissa tietokantaympäristöissä käytetty relaatiotietokanta. IBM on julkaissut korjauksen tietokantaohjelmiston kahteen kriittiseksi luokiteltuun puskuriylivuotohaavoittuvuuteen. Haavoittuvuuksia hyväksikäyttämällä hyökkääjän on mahdollista suorittaa omia komentojaan tietokantapalvelimella.

Haavoittuvuudet löytänyt taho on 23.12. julkaissut haavoittuvuuksista yksityiskohtaisempia tietoja. CERT-FI suosittelee vielä päivittämättömien DB2-tietokantaohjelmistojen välitöntä päivittämistä.

HAAVOITTUVAT OHJELMISTOT:

• DB2 8.1: Fixpak 6 ja tätä aikaisemmat versiot
  

• DB2 7.x: Fixpak 11 ja tätä aikaisemmat versiot

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä DB2 8.1 -tietokanta korjauksella Fixpak 7 ja DB2 7.x -tietokanta korjauksella Fixpak 12.

Fixpak 7 -korjaustiedosto DB2 8.1 -tietokannalle on saatavilla osoitteesta:

http://www-306.ibm.com/software/data/db2/udb/support/downloadv8.html

Fixpak 12 -korjaustiedosto DB2 7.x -tietokannalle on saatavilla osoitteesta:

http://www-306.ibm.com/software/data/db2/udb/support/downloadv7.html

LISÄTIETOA:

http://www.nextgenss.com/advisories/db2-01.txt

http://www-306.ibm.com/software/data/db2/udb/support/downloadv8.html

http://www-306.ibm.com/software/data/db2/udb/support/downloadv7.html

Yksityiskohtaista tietoa haavoittuvuuksista:

http://www.securityfocus.com/archive/1/385329

http://www.securityfocus.com/archive/1/385330

PÄIVITYSHISTORIA:

07.09.2004: Julkaistu
27.12.2004: Tietolähteisiin lisätty linkit yksityiskohtaisemmista haavoittuvuustiedoista.

Sivua päivitetty 25.07.2007

Tulostusversio