Risques
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
Systèmes affectés
IBM DB2 version 9.7.
Résumé
Plusieurs vulnérabilités affectent IBM DB2 et permettent à un utilisateur malveillant de réaliser un déni de service à distance ou de contourner la politique de sécurité.
Description
Plusieurs vulnérabilités dans IBM DB2 ont été publiées et corrigées :
- l'agent TIVOLI installé pour DB2 permet à utilisateur distant de provoquer un déni de service ;
- la renégociation des sessions TLS et SSL permet de contourner la politique de sécurité ;
- les droits d'accès accordés peuvent n'être pas pris en considération de manière homogène ;
- des informations pour les administrateurs peuvent être, à tort, publiques.
Solution
Le Fix Pack 2 pour IBM DB2 version 9.7 remédie à ces vulnérabilités.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité IBM swg21432298 du 28 mai 2010 http://www-01.ibm.com/support/docview.wss?uid=swg21432298
- Document du CERTA CERTA-2009-AVI-482 du 19 mai 2010 : http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-482/index.html
- Référence CVE CVE-2009-3555 https://www.cve.org/CVERecord?id=CVE-2009-3555
- Référence CVE CVE-2010-0472 https://www.cve.org/CVERecord?id=CVE-2010-0472
