Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Haavoittuvuudet > 2006 > CERT-FI haavoittuvuustiedote 036/2006

CERT-FI haavoittuvuustiedote 036/2006

Palvelimet ja palvelinsovellukset Työasemat ja loppukäyttäjäsovellukset Verkon aktiivilaitteet Matkaviestimet Sulautetut järjestelmät Muut

14.6.2006

Haavoittuvuuksia IBM DB2 -tietokantaohjelmistoissa

     
Kohde: - palvelimet ja palvelinsovellukset
 Lisätietoja
Hyökkäystapa: - etäkäyttö
- ilman käyttäjän toimia
Lisätietoja
Hyväksikäyttö: - komentojen mielivaltainen suorittaminen
- palvelunestohyökkäys
Lisätietoja
Ratkaisu: - korjaava ohjelmistopäivitys
Lisätietoja

IBM DB2 Universal on erityisesti laajoissa tietokantaympäristöissä käytetty relaatiotietokantaohjelmisto. Ohjelmistosta on löytynyt neljä uutta haavoittuvuutta.

Ensimmäinen haavoittuvuuksista on tietyllä tavalla muokattujen CONNECT- tai ATTACH-pyyntöjen seurauksena tapahtuva puskuriylivuoto. Haavoittuvuutta hyväksikäyttämällä hyökkääjän on mahdollista kohdistaa tietokantapalvelimeen palveluestohyökkäys. Haavoittuvuutta hyväksikäyttämällä hyökkääjän voi olla mahdollista suorittaa kohdejärjestelmässä omia komentojaan.

Toinen haavoittuvuuksista liittyy LOAD-komennon REPLACE INTO tai INSERT INTO -osioissa olevien tietyllä tavalla muokattujen sarakelistojen käsittelyyn. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi kohdistaa tietokantapalvelimeen palvelunestohyökkäyksen.

Kolmas haavoittuvuuksista liittyy virheellisen ohjelmistopakettia koskevan informaation käsittelyyn. Tietokantapalvelulle lähetetty virheellinen paketin nimeä tai tekijää koskeva informaatio voi aiheuttaa tietokantapalvelun kaatumisen.

Neljäs haavoittuvuuksista johtuu ohjelmiston puutteista käsitellä virheitä, mitkä aiheutuvat suuresta määrästä arvoja IN-lausekkeessa. Haavoittuvuutta voidaan hyväksikäyttää palvelunestohyökkäyksen toteuttamiseen.

HAAVOITTUVAT OHJELMISTOT:

  • IBM DB2 Universal tietokantaohjelmiston versiot 8.x

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä haavoittuva ohjelmisto valmistajan ohjeiden mukaisesti. Haavoittuvuus on korjattu versiossa 8 FixPak 12 (versio 8.2 FixPak 5). Päivitykset ovat ladattavissa osoitteesta

http://www-1.ibm.com/support/docview.wss?rs=0

LISÄTIETOA:

http://www-1.ibm.com/support/docview.wss?uid=swg1IY84096
http://www-1.ibm.com/support/docview.wss?uid=swg1IY76767
http://www-1.ibm.com/support/docview.wss?uid=swg1IY79204
http://www-1.ibm.com/support/docview.wss?uid=swg1IY82725

CVE-2006-3067

PÄIVITYSHISTORIA:

14.06.2006: Julkaistu
Sivua päivitetty 11.03.2007   Tulostusversio Tulostusversio