Vigil@nce - IBM DB2 9.7 : trois vulnérabilités
novembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer trois vulnérabilités d’IBM DB2, afin
d’exécuter des fonctionnalités privilégiées.
Gravité : 2/4
Date création : 25/10/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Trois vulnérabilités ont été annoncées dans IBM DB2.
Dans certains cas, les utilisateurs PUBLIC obtiennent des
privilèges. [grav:2/4 ; IC71703]
Lorsque les privilèges sur un objet sont révoqués pour PUBLIC, un
attaquant local peut continuer à exécuter les fonctions, car elles
ne sont pas marquées INVALID. [grav:2/4 ; CVE-2010-3474, IC68015]
Lorsqu’un utilisateur privilégié a utilisé un Compound SQL
(compilé), il est mis en cache. Cependant, les droits d’accès au
cache ne sont pas vérifiés. Un attaquant non privilégié peut donc
exécuter la requête en cache. [grav:2/4 ; CVE-2010-3475, IC70406]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-DB2-9-7-trois-vulnerabilites-10071