Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
IBM DB 2.x.
Résumé
Plusieurs vulnérabilités présentes dans IBM DB2 permettent à un utilisateur distant malintentionné de provoquer un déni de service ou de porter atteinte à la confidentialité ou à l'intégrité des données.
Description
Deux vulnérabilités sont présentes dans la base de données IBM DB2 :
- la première est semblable à la vulnérabilité touchant le protocole TLS détaillée dans l'avis CERTA-2009-AVI-482 et permet à un utilisateur distant malintentionné de conduire des attaques de type « Man-in-the-Middle » ;
- la seconde, de type débordement de mémoire, concerne la fonction REPEAT et permet à un utilisateur distant ayant accès la base de données de provoquer un déni de service.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg1IC65922 du 22 avril 2010 : http://www-01.ibm.com/support/docview.wss?uid=swg1IC65922
- Bulletin de sécurité IBM swg1IC67848 du 22 avril 2010 : http://www-01.ibm.com/support/docview.wss?uid=swg1IC67848
- Bulletin de sécurité IBM swg21426108 du 22 avril 2010 : http://www-01.ibm.com/support/docview.wss?uid=swg21426108
- Document du CERTA CERTA-2009-AVI-482 du 06 novembre 2009 : http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-482/index.html
- Référence CVE CVE-2009-3555 https://www.cve.org/CVERecord?id=CVE-2009-3555
