发布日期：2010-05-25
更新日期：2010-06-01

受影响系统：

IBM DB2 Universal Database 9.7 FixPack 1
IBM DB2 Universal Database 9.7

不受影响系统：

IBM DB2 Universal Database 9.7 FixPack 2

描述：

---

BUGTRAQ  ID: 40446
CVE ID: CVE-2010-0472,CVE-2009-3555

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

DB2的9.7 Fix Pack 2更新修复了多个安全漏洞，恶意用户可以利用这些漏洞读取敏感信息或操控某些数据。

1) TLS实现在处理会话重新协商中的错误可能允许通过中间人攻击向已有的TLS会话注入任意明文。

2) 如果将AUTO_REVAL数据库配置数据设置为IMMEDIATE，则在重新创建基础对象时的错误可能导致没有对基础对象视图的所有者重新给予系统权限。

3) SYSIBMADM SCHEMA中的监控管理视图是公开可见的。

<*来源：IBM （ncsupp@ca.ibm.com）
  
  链接：http://secunia.com/advisories/40003/
        http://www-01.ibm.com/support/docview.wss?uid=swg21432298
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053

浏览次数：3719
严重程度：0（网友投票）