| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Die DB2 von IBM wird mit dem Unix-Derivat AIX aus dem gleichen Hause mitgeliefert. Mark Rowe von Pentest Limited berichtet im Advisory ptl-2003-01, dass das Produkt einen Pufferüberlauf im LOAD-Kommando aufweist. Dieses Kommando wird für das Verschieben von Dateien, Named Pipes oder Devices in eine DB2-Tabelle herangezogen. Um diese Schwachstelle auszunutzen, muss ein Angreifer in der Lage sein, das LOAD-Kommando für seine Zwecke zu missbrauchen. Der Programmcode wird dabei im Kontext der Datenbank ausgeführt. Vom Fehler betroffen sind sowohl IBM DB2 Universal Database 7.x und 8.x. IBM wurde am 20. November 2002 über die Schwachstelle informiert, die sie sodann zwei Tage später am 22. des gleichen Monats bestätigten. Ein Bugfix wurde hingegen erst fast ein Jahr später am 17. September 2003 herausgegeben. Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (13331) dokumentiert. Weitere Informationen werden unter xforce.iss.net bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter 307.
Gleich zwei Pufferüberlauf-Schwachstellen in IBM DB2 Universal Database, die durch Pentest Limited publik gemacht wurden. Da es sich dabei jeweils um Kommandos handelt, die nur von authorisierten Benutzern ausgeführt werden können und nähere Details zu den Sicherheitslücken nicht bekannt gegeben wurden, ist das Risiko als relativ gering einzustufen. Trotzdem sollte man, sofern die eigenen Systeme betroffen sind, die Patches einspielen, um das Risiko eines erfolgreichen Angriffs zu minimieren.
Produkt
Typ
Hersteller
Name
Version
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Upgrade: DB2 Universal Database v7.2
Patch: www-3.ibm.com
Timeline
29.09.2003 🔍01.10.2003 🔍
01.10.2003 🔍
02.10.2003 🔍
02.10.2003 🔍
02.10.2003 🔍
17.11.2003 🔍
03.01.2006 🔍
23.02.2017 🔍
Quellen
Hersteller: ibm.comAdvisory: pentest.co.uk
Person: Mark Rowe
Firma: Pentest Limited
Status: Nicht definiert
CVE: CVE-2003-0836 (🔍)
X-Force: 13331 - IBM DB2 INVOKE buffer overflow, High Risk
Vulnerability Center: 10101 - IBM DB2 Stack Overflow via LOAD Command, Medium
SecuriTeam: securiteam.com
SecurityFocus: 8742 - IBM DB2 Remote LOAD Command Buffer Overrun Vulnerability
Secunia: 9912 - DB2 LOAD and INVOKE Command Buffer Overflow Vulnerabilities, Less Critical
OSVDB: 6386 - IBM DB2 INVOKE Command Overflow
TecChannel: 1167 [404 Not Found]
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 02.10.2003 14:09Aktualisierung: 23.02.2017 21:42
Anpassungen: 02.10.2003 14:09 (74), 23.02.2017 21:42 (11)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.