Gravité : 2/4

Conséquences : déni de service du service

Provenance : client intranet

Moyen d’attaque : aucun démonstrateur, aucune attaque

Compétence de l’attaquant : expert (4/4)

Confiance : confirmé par l’éditeur (5/5)

Diffusion de la configuration vulnérable : élevée (3/3)

Nombre de vulnérabilités dans ce bulletin : 5

Date création : 03/06/2009

PRODUITS CONCERNÉS

– IBM DB2 UDB

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans IBM DB2.

Un attaquant peut employer des données de connexion illicites afin
de mener un déni de service. [grav:2/4 ; IZ37697]

Un attaquant peut envoyer un message "correlation" avec une
adresse IPv6 afin de stopper le service. [grav:2/4 ; CVE-2009-1906,
IZ38874]

Un attaquant peut employer un flux de données illicites afin de
mener un déni de service. [grav:2/4 ; IZ39653]

Les noms d’utilisateurs et de groupes précisés lors de
l’installation ne sont pas honorés. [grav:2/4 ; JR29114]

La fonctionnalité d’audit peut créer des fichiers de
journalisation vides. [grav:1/4 ; IZ40408]

CARACTÉRISTIQUES

Références : BID-35171, CVE-2009-1906, IZ37697, IZ38874, IZ39653, IZ40408, JR29114, VIGILANCE-VUL-8755

http://vigilance.fr/vulnerabilite/IBM-DB2-multiples-vulnerabilites-8755