发布日期：2010-08-30
更新日期：2010-09-01

受影响系统：

IBM DB2 Universal Database 9.7
IBM DB2 Universal Database 9.5
IBM DB2 Universal Database 9.1

不受影响系统：

IBM DB2 Universal Database 9.7 FP2
IBM DB2 Universal Database 9.5 FP6
IBM DB2 Universal Database 9.1 FP9

描述：

---

CVE(CAN) ID: CVE-2010-3193,CVE-2010-3194,CVE-2010-3195,CVE-2010-3196,CVE-2010-3197

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

DB2的9.1 FP9、9.5 FP6和9.7 FP2更新修复了多个安全漏洞，恶意用户可以利用这些漏洞读取敏感信息或导致拒绝服务。

1) DB2DART程序允许攻击者通过覆盖属于例程所有者的文件绕过预期的文件访问限制。

2) Windows Server 2008上的DB2允许攻击者通过特殊组合用户枚举的方式导致拒绝服务。

3) 当AUTO_REVAL设置为IMMEDIATE时，DB2允许通过认证的远程远程用户通过定义独立的视图导致视图所有者失去权限。

4) DB2没有对SYSIBMADM schema中的监控管理视图执行预期的访问控制，允许远程攻击者获取敏感信息。

<*来源：IBM （ncsupp@ca.ibm.com）
  
  链接：http://secunia.com/advisories/41218/
*>

建议：

---

厂商补丁：

IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ibm.com/support/docview.wss?uid=swg21426108
http://www.ibm.com/support/docview.wss?uid=swg21432298
http://www.ibm.com/support/docview.wss?uid=swg1IC66099
http://www.ibm.com/support/docview.wss?uid=swg1IC65408
http://www.ibm.com/support/docview.wss?uid=swg1IC66642
http://www.ibm.com/support/docview.wss?uid=swg1IC66643
http://www.ibm.com/support/docview.wss?uid=swg1IC65703
http://www.ibm.com/support/docview.wss?uid=swg1IC65742

浏览次数：3003
严重程度：0（网友投票）