Vigil@nce : IBM DB2, multiples vulnérabilités
juin 2009 par Vigil@nce
Un attaquant peut employer plusieurs vulnérabilités d’IBM DB2 afin
de mener un déni de service.
Gravité : 2/4
Conséquences : déni de service du service
Provenance : client intranet
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Nombre de vulnérabilités dans ce bulletin : 5
Date création : 03/06/2009
PRODUITS CONCERNÉS
– IBM DB2 UDB
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans IBM DB2.
Un attaquant peut employer des données de connexion illicites afin
de mener un déni de service. [grav:2/4 ; IZ37697]
Un attaquant peut envoyer un message "correlation" avec une
adresse IPv6 afin de stopper le service. [grav:2/4 ; CVE-2009-1906,
IZ38874]
Un attaquant peut employer un flux de données illicites afin de
mener un déni de service. [grav:2/4 ; IZ39653]
Les noms d’utilisateurs et de groupes précisés lors de
l’installation ne sont pas honorés. [grav:2/4 ; JR29114]
La fonctionnalité d’audit peut créer des fichiers de
journalisation vides. [grav:1/4 ; IZ40408]
CARACTÉRISTIQUES
Références : BID-35171, CVE-2009-1906, IZ37697, IZ38874, IZ39653, IZ40408, JR29114, VIGILANCE-VUL-8755
http://vigilance.fr/vulnerabilite/IBM-DB2-multiples-vulnerabilites-8755