sábado, 25 de octubre de 2008

Diversas vulnerabilidades en IBM DB2 9.x

Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas son de impacto desconocido y otras podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o revelar información sensible.

* La primera vulnerabilidad está causada por un error en la función "SQLNLS_UNPADDEDCHARLEN()" que podría causar una violación de acceso (segmentation fault) en servidor DB2 al intentar acceder a una parte de memoria para la que no se tienen permisos.

* Las vistas (views) y los disparadores (triggers) deberían estar marcados como no operativos o ser descartados en el Native Managed Provider para .NET si los objetos no pueden ser mantenidos por quien los ha definido.

* Un error no especificado en los servicios de ordenación/listado podría ser explotado para revelar ciertas cadenas relacionadas con la contraseña de conexión.

Las vulnerabilidades están confirmadas para la versiones anteriores a la 9.x FP6 de IBM DB2.

Se recomienda aplicar el Fixpack 6, disponible desde:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 6
http://www-01.ibm.com/support/docview.wss?uid=swg27013892

No hay comentarios:

Publicar un comentario en la entrada