Vigil@nce - IBM DB2 : obtention d’information via monitoring/audit
mai 2015 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant authentifié peut utiliser le monitoring/audit de IBM
DB2, afin d’obtenir des informations sensibles.
Produits concernés : DB2 UDB
Gravité : 1/4
Date création : 04/05/2015
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit IBM DB2 implémente le support de :
– federated DDL (CREATE SERVER, CREATE/ALTER USER MAPPING)
– ENCRYPT/DECRYPT UDFs
Ces requêtes contiennent des mots de passe.
Cependant, lorsque le monitoring ou l’audit est activé, un
attaquant authentifié peut lire ces mots de passe.
Un attaquant authentifié peut donc utiliser le monitoring/audit
de IBM DB2, afin d’obtenir des informations sensibles.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-DB2-obtention-d-information-via-monitoring-audit-16799