Vigil@nce - IBM DB2 9.7 : cinq vulnérabilités
novembre 2012 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer quatre vulnérabilités de IBM DB2, afin
de mener un déni de service ou d’élever ses privilèges.
Produits concernés : DB2 UDB
Gravité : 2/4
Date création : 18/10/2012
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans IBM DB2.
Un attaquant peut provoquer un Cross Site Scripting dans
l’Information Center. [grav:2/4 ; IC84099]
Un attaquant peut employer GET_WRAP_CFG_C et GET_WRAP_CFG_C2 pour
accéder aux fichiers XML (VIGILANCE-VUL-11845
(https://vigilance.fr/arbre/1/11845)). [grav:2/4 ; CVE-2012-2196,
IC84614, IC84712, IC84748, IC84750, IC84751, swg21607618]
Un attaquant authentifié peut provoquer un buffer overflow dans la
gestion des procédures stockées Java, afin d’élever ses privilèges
(VIGILANCE-VUL-11871 (https://vigilance.fr/arbre/1/11871)).
[grav:2/4 ; CVE-2012-2197, IC84555, IC84752, IC84753, IC84754,
IC84755, swg21607628]
Un attaquant authentifié peut employer SQLJ.DB2_INSTALL_JAR pour
remplacer une archive JAR, afin d’exécuter du code privilégié
(VIGILANCE-VUL-11870 (https://vigilance.fr/arbre/1/11870)).
[grav:2/4 ; CVE-2012-2194, IC84019, IC84711, IC84714, IC84716,
swg21607622]
Un attaquant peut employer une requête persistante, afin de créer
un buffer overflow. [grav:2/4 ; BID-56133, CVE-2012-4826, IC86781,
swg21614536]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-DB2-9-7-cinq-vulnerabilites-12083