IBM DB2 Universal Database do 9.0 Administration Server DAS privilege escalation
| CVSS Wynik metatemperatury | Exploit Aktualna Cena (≈) | Wynik odsetkowy CTI |
|---|---|---|
| 8.8 | $0-$5k | 0.00 |
W IBM DB2 Universal Database do 9.0 (Database Software) została stwierdzona podatność. Podatnością dotknięta jest funkcja DAS w komponencie Administration Server. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przekroczenie uprawnień. Ma to wpływ na poufność, spójność i dostępność.
Błąd został odkryty w dniu 2008-06-02. Informacja o podatności została podana do publicznej wiadomości w dniu 2008-08-28 przez osobę/y Martin Rakhmanov z firmy Application Security Inc. (Website). Raport na temat podatności został udostępniony pod adresem www-1.ibm.com. Identyfikatorem tej podatności jest CVE-2008-3855. Luka uchodzi za łatwą do wykorzystania. Lokalny dostęp jest konieczny, by atak się powiódł. Do eksploitacji nie potrzeba żadnej formy uwierzytelnienia. Szczegóły techniczne są znane, ale exploit nie jest dostępny.
Uważa się go za proof-of-concept. Podatność ta była wykorzystywana w exploicie typu 0-day przez co najmniej 8 dni. Skaner podatności Nessus jest wyposażony w plugin ID 33128 (IBM DB2 < 9 Fix Pack 5 Multiple Vulnerabilities), który pomaga ustalić, czy dane środowisko jest podatne na atak.
Aktualizacja do wersji 9.1 eliminuje tę podatność.
Błąd jest również udokumentowany w bazie podatności X-Force (42932) i Tenable (33128).
Produkt
Rodzaj
Sprzedawca
Imię
Wersja
Licencja
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv3
VulDB Wynik metabazy: 9.8VulDB Wynik metatemperatury: 8.8
VulDB Wynik podstawowy: 9.8
VulDB Wynik tymczasowy: 8.8
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Wektor | Możliwość wykorzystania | Uwierzytelnianie | Poufność | Integralność | Dostępność |
|---|---|---|---|---|---|
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
| odblokować | odblokować | odblokować | odblokować | odblokować | odblokować |
VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍
NVD Wynik podstawowy: 🔍
Exploit
Klasa: Przekroczenie uprawnieńCWE: CWE-264
CAPEC: 🔍
ATT&CK: 🔍
Lokalny: Tak
Zdalny: Nie
Dostępność: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍
| 0-Day | odblokować | odblokować | odblokować | odblokować |
|---|---|---|---|---|
| Dzisiaj | odblokować | odblokować | odblokować | odblokować |
Nessus ID: 33128
Nessus Imię: IBM DB2 < 9 Fix Pack 5 Multiple Vulnerabilities
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Inteligencja Zagrożeń
Wysiłek: 🔍Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍
Przeciwdziałanie
Zalecane: UpgradeStatus: 🔍
0-dniowy czas: 🔍
Upgrade: DB2 Universal Database 9.1
TippingPoint: 🔍
Oś czasu
2008-06-02 🔍2008-06-02 🔍
2008-06-02 🔍
2008-06-10 🔍
2008-08-28 🔍
2008-08-28 🔍
2008-08-28 🔍
2008-10-02 🔍
2015-03-17 🔍
2019-08-17 🔍
Źródła
Sprzedawca: ibm.comRaport: www-1.ibm.com
Badacz: Martin Rakhmanov
Organizacja: Application Security Inc.
Status: Nie określono
Potwierdzenie: 🔍
CVE: CVE-2008-3855 (🔍)
X-Force: 42932
Vulnerability Center: 19630 - IBM DB2 9.1 <Fixpak 5 DAS File Creation Vulnerability Allows Local Privilege Escalation, Medium
SecurityFocus: 29601 - IBM DB2 Universal Database Prior to 9.1 Fixpak 5 Multiple Vulnerabilities
Secunia: 30558
OSVDB: 46271 - IBM DB2 admin server privilege escalation
Vupen: ADV-2008-1769
Wpis
Stworzono: 2015-03-17 16:11Aktualizacje: 2019-08-17 18:48
Zmiany: 2015-03-17 16:11 (64), 2019-08-17 18:48 (15)
Kompletny: 🔍
Cache ID: 3:5EC:103
Brak komentarzy. Języki: pl + en.
Zaloguj się, aby skomentować.