IBM DB2 UDB DAS Memory Corruption

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.5$0-$5k0.00

DB2 ist eine kommerzielle relationale Datenbank der Firma IBM, deren Ursprünge auf das System R und die Grundlagen von E. F. Codd vom IBM Research aus dem Jahr 1970 zurückgeht. In einem Advisory beschreibt IBM eine Schwachstelle, bei der ein Fehler im Database Administation Server (DAS) einen Pufferüberlauf begünstigt, indem ein speziell manipuliertes Paket an Port 523/TCP gesendet wird. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (40224) und Tenable (30153) dokumentiert. Von weiterem Interesse können die folgenden Einträge sein: 3576, 3578, 3580 und 3577.

Für den Vulnerability Scanner Nessus wurde am 05.02.2008 ein Plugin mit der ID 30153 (IBM DB2 < 8.1 Fix Pack 16 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet und im Kontext r ausgeführt.

Auch diesen Monat geizt IBM nicht mit Bugfixes für gemeldete Schwachstellen. Allerdings bietet sich dem Betrachter auch dieses Mal das gewohnte Bild: Keine konkreten Informationen, nur der Hinweis auf betroffenene Teil und die Empfehlung die neusten Fixes ohne grosses Nachfragen einzuspielen. Viele Administratoren dürften dieses intransparente Vorgehen nicht allzusehr schätzen. Eine klare Einstufung der hier dargelegten Schwachstelle kann aufgrund fehlender Informationen nicht stattfinden, es bleibt also die Empfehlung abzugeben, die entsprechenden Patches sicherheitshalber zeitnah einzuspielen.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 9.8
VulDB Meta Temp Score: 8.5

VulDB Base Score: 9.8
VulDB Temp Score: 8.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-264
ATT&CK: T1068

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: Privat
Status: Unbewiesen

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 30153
Nessus Name: IBM DB2 < 8.1 Fix Pack 16 Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: www-1.ibm.com

Timelineinfo

31.10.2007 🔍
13.11.2007 +13 Tage 🔍
30.01.2008 +78 Tage 🔍
04.02.2008 +5 Tage 🔍
04.02.2008 +0 Tage 🔍
05.02.2008 +0 Tage 🔍
07.02.2008 +2 Tage 🔍
08.02.2008 +1 Tage 🔍
10.02.2008 +2 Tage 🔍
12.02.2008 +2 Tage 🔍
15.02.2008 +3 Tage 🔍
18.02.2008 +3 Tage 🔍
04.08.2019 +4185 Tage 🔍

Quelleninfo

Hersteller: ibm.com

Advisory: www-1.ibm.com
Firma: iDefense
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2007-5757 (🔍)
X-Force: 40224
SecurityTracker: 1019319
Vulnerability Center: 17550 - IBM DB2 Universal Database for Linux 9.1 Local Privilege Escalation, High
SecurityFocus: 27870 - IBM DB2 Universal Database Multiple Vulnerabilities
Secunia: 28771
OSVDB: 41630 - IBM DB2 Universal Database db2pd DB2INSTANCE Environment Variable Search Path Subversion Local Privilege Escalation

Siehe auch: 🔍

Eintraginfo

Erstellt: 18.02.2008 09:57
Aktualisierung: 04.08.2019 16:51
Anpassungen: 18.02.2008 09:57 (78), 04.08.2019 16:51 (11)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you know our Splunk app?

Download it now for free!