| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Zusammenfassung
In IBM DB2 Universal Database bis 9.1 FP2 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf der Komponente Authorization Handler. Durch das Manipulieren mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2007-1089 geführt. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Unter dem Produktnamen DB2 wird von IBM für verschiedene Betriebssystem-Plattformen vom Quellcode und von den Merkmalen her verschiedene Software für Datenbankmanagementsysteme vertrieben. So existieren in PL/X geschriebene Versionen für IBM Mainframes (heutige Maschinenbezeichnung: System z) für das Mainframe-Betriebssystem z/OS (vormals MVS) oder VSE, ferner eine in das Betriebssystem OS/400 integrierte Version für IBM-Midrangesysteme (heutige Maschinenbezeichnung System i), sowie in C geschriebene Versionen für unix-, linux- und windowsbasierte Systeme. Wie IBM in einem Advisory berichtet, ist es möglich diverse Authorisierungsmechanismen zu umgehen und UPDATE- und DELETE Statements einzusetzen, obwohl der eingesetzte User lediglich über SELECT-Privilegen verfügt. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (36109), SecurityFocus (BID 25339†), OSVDB (40976†), Secunia (SA24283†) und Vulnerability Center (SBV-30766†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-38411, VDB-38406, VDB-38405 und VDB-38383. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Diese Lücke erscheint relativ kritisch, kann aber aufgrund der begrenzten Ausnutzbarkeit (lediglich im lokalen Netzwerk) sowie durch die Notwendigkeit eines lokalen Benutzeraccounts mit rudimentären Rechten teilweise herabgestuft werden. Nichtsdestotrotz sollten die zur Verfügung gestellten Patches baldmöglichst eingespielt werden, um vorhandene Risiken einzudämmen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.ibm.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.0VulDB Meta Temp Score: 4.4
VulDB Base Score: 5.0
VulDB Temp Score: 4.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Teilweise
Lokal: Ja
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: www-1.ibm.com
Timeline
12.02.2007 🔍23.02.2007 🔍
23.02.2007 🔍
23.02.2007 🔍
23.02.2007 🔍
26.02.2007 🔍
16.08.2007 🔍
16.08.2007 🔍
03.04.2011 🔍
03.07.2017 🔍
Quellen
Hersteller: ibm.comAdvisory: www-1.ibm.com
Person: Joshua J. Drake
Firma: IBM
Status: Bestätigt
CVE: CVE-2007-1089 (🔍)
GCVE (CVE): GCVE-0-2007-1089
GCVE (VulDB): GCVE-100-2960
X-Force: 36109 - IBM DB2 SELECT unspecified, Medium Risk
SecurityFocus: 25339 - IBM DB2 Universal Database Multiple Unspecified Vulnerabilities
Secunia: 24283 - IBM DB2 Authorisation Bypass Vulnerability, Less Critical
OSVDB: 40976 - IBM DB2 Universal Database SELECT Privileges Authorization Bypass
Vulnerability Center: 30766 - IBM DB2 Universal Database 9.1 GA through 9.1 FP1 Local Privilege Escalation Vulnerability, High
Vupen: ADV-2007-0721
Siehe auch: 🔍
Eintrag
Erstellt: 26.02.2007 13:53Aktualisierung: 03.07.2017 09:07
Anpassungen: 26.02.2007 13:53 (75), 03.07.2017 09:07 (7)
Komplett: 🔍
Cache ID: 216:BE4:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.