发布日期：2012-06-07
更新日期：2012-06-08

受影响系统：

IBM DB2 9.x

描述：

---

IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

IBM DB2 9.7 Fix Pack 6 (FP6)之前版本在实现上存在多个安全漏洞，可被恶意本地用户利用操作某些数据、获取提升权限、绕过某些安全限制、造成拒绝服务。

1） 附带版本的IBM Tivoli Monitoring Agent (ITMA)中存在错误，可被本地用户利用提升权限。

2） DB2 Administration Server (DAS)中的错误可被已验证用户利用提升其权限。

3） XML功能中的错误可被利用造成拒绝服务。

4） 不明细节错误可被利用读取某些表格。

5） XML功能中的错误可被已验证用户利用泄露实例用户的XML文件。

6） 在处理DRDA请求时的错误可被利用造成陷阱。

<*来源：vendor
  
  链接：http://secunia.com/advisories/49437/
        http://www-304.ibm.com/support/docview.wss?uid=swg1IC80729
        http://www-304.ibm.com/support/docview.wss?uid=swg1IC79274
        http://www-304.ibm.com/support/docview.wss?uid=swg1IC82234
        http://www-304.ibm.com/support/docview.wss?uid=swg1IC81462
        http://www-304.ibm.com/support/docview.wss?uid=swg1IC81380
*>

建议：

---

厂商补丁：

IBM
---
IBM已经为此发布了一个安全公告（IC80729）以及相应补丁:

IC80729：IC80729: SECURITY: REMOTE ESCALATION OF PRIVILEGE VULNERABILITY IN DAS.

链接：http://www-304.ibm.com/support/docview.wss?uid=swg1IC80729

浏览次数：2560
严重程度：0（网友投票）