S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 01 février 2011
N° CERTA-2011-AVI-042
Affaire suivie par: CERT-FR
le 01 février 2011

Avis du CERT-FR

Objet: Vulnérabilités dans IBM DB2

Gestion du document

Référence CERTA-2011-AVI-042
Titre Vulnérabilités dans IBM DB2
Date de la première version 01 février 2011
Date de la dernière version 01 février 2011
Source(s) Bulletin de sécurité IBM swg21426108 du 28 janvier 2011
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

  • IBM DB2 9.7 ;
  • IBM DB2 9.5 ;
  • IBM DB2 9.1.

Résumé

Plusieurs vulnérabilités ont été corrigées dans IBM DB2. Une d'entre elles peut être exploitée par une personne malintentionnée afin d'exécuter du code arbitraire à distance.

Description

Plusieurs vulnérabilités ont été corrigées dans IBM DB2. En particulier :

  • une vulnérabilité de type dépassement de tampon dans DB2 Administrative Server(DAS) permet à un utilisateur malintentionné d'exécuter du code arbitraire à distance (IC71203, IC72028 et IC72029) ;
  • une vulnérabilité non spécifiée permet à un utilisateur malintentionné de contourner la politique de sécurité lors de la révocation des droits DBADM (IC66811, IC66814 et IC66815).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 01 février 2011
    version initiale.