CERTA-2010-AVI-196
Vulnerability from certfr_avis

Plusieurs vulnérabilités présentes dans IBM DB2 permettent à un utilisateur distant malintentionné de provoquer un déni de service ou de porter atteinte à la confidentialité ou à l'intégrité des données.

Description

Deux vulnérabilités sont présentes dans la base de données IBM DB2 :

  • la première est semblable à la vulnérabilité touchant le protocole TLS détaillée dans l'avis CERTA-2009-AVI-482 et permet à un utilisateur distant malintentionné de conduire des attaques de type « Man-in-the-Middle » ;
  • la seconde, de type débordement de mémoire, concerne la fonction REPEAT et permet à un utilisateur distant ayant accès la base de données de provoquer un déni de service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

IBM DB 2.x.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cp\u003eIBM DB 2.x.\u003c/p\u003e",
  "content": "## Description\n\nDeux vuln\u00e9rabilit\u00e9s sont pr\u00e9sentes dans la base de donn\u00e9es IBM DB2 :\n\n-   la premi\u00e8re est semblable \u00e0 la vuln\u00e9rabilit\u00e9 touchant le protocole\n    TLS d\u00e9taill\u00e9e dans l\u0027avis CERTA-2009-AVI-482 et permet \u00e0 un\n    utilisateur distant malintentionn\u00e9 de conduire des attaques de type\n    \u00ab Man-in-the-Middle \u00bb ;\n-   la seconde, de type d\u00e9bordement de m\u00e9moire, concerne la fonction\n    REPEAT et permet \u00e0 un utilisateur distant ayant acc\u00e8s la base de\n    donn\u00e9es de provoquer un d\u00e9ni de service.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2009-3555",
      "url": "https://www.cve.org/CVERecord?id=CVE-2009-3555"
    }
  ],
  "initial_release_date": "2010-04-23T00:00:00",
  "last_revision_date": "2010-04-23T00:00:00",
  "links": [
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM swg1IC67848 du 22 avril 2010 :",
      "url": "http://www-01.ibm.com/support/docview.wss?uid=swg1IC67848"
    },
    {
      "title": "Document du CERTA CERTA-2009-AVI-482 du 06 novembre 2009 :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-482/index.html"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM swg21426108 du 22 avril 2010 :",
      "url": "http://www-01.ibm.com/support/docview.wss?uid=swg21426108"
    },
    {
      "title": "Bulletin de s\u00e9curit\u00e9 IBM swg1IC65922 du 22 avril 2010 :",
      "url": "http://www-01.ibm.com/support/docview.wss?uid=swg1IC65922"
    }
  ],
  "reference": "CERTA-2010-AVI-196",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2010-04-23T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ni de service \u00e0 distance"
    },
    {
      "description": "Atteinte \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Plusieurs vuln\u00e9rabilit\u00e9s pr\u00e9sentes dans IBM DB2 permettent \u00e0 un\nutilisateur distant malintentionn\u00e9 de provoquer un d\u00e9ni de service ou de\nporter atteinte \u00e0 la confidentialit\u00e9 ou \u00e0 l\u0027int\u00e9grit\u00e9 des donn\u00e9es.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s de IBM DB2",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 IBM n\u02daIC67848 du 22 avril 2010",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 IBM n\u02da1426108 du 22 avril 2010",
      "url": null
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 IBM n\u02daIC65922 du 22 avril 2010",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.