ibm db2 9.5 Administration Server com.ibm.db2.das.core.DasSysCmd memory corruption

CVSS Wynik metatemperaturyExploit Aktualna Cena (≈)Wynik odsetkowy CTI
9.0$0-$5k0.00

Podatność została odkryta w ibm db2 9.5 (Database Software). Problemem dotknięta jest funkcja com.ibm.db2.das.core.DasSysCmd w pliku com.ibm.db2.das.core.DasSysCmd w komponencie Administration Server. Dzięki manipulowaniu przy użyciu nieznanych danych wejściowych można doprowadzić do wystąpienia podatności przepełnienie bufora. Ma to wpływ na poufność, spójność i dostępność.

Informacja o podatności została opublikowana w dniu 2010-10-05 z firmy Intevydis (Website). Raport na temat podatności został udostępniony pod adresem zerodayinitiative.com. Podatność ta została oznaczona identyfikatorem CVE-2010-3731. Luka jest łatwa do wykorzytania. Możliwe jest zdalne zainicjowanie ataku. Nie potrzeba żadnej formy uwierzytelnienia w celu eksploitacji. Szczegóły techniczne są znane, ale brak dostępnego exploita.

Uważa się go za proof-of-concept. Skaner podatności Nessus jest wyposażony w plugin ID 51840 (IBM DB2 9.1 < Fix Pack 10 Multiple Vulnerabilities), który pomaga ustalić, czy dane środowisko jest podatne na atak.

Aktualizacja do wersji 9.5 eliminuje tę podatność.

Błąd jest również udokumentowany w bazie podatności X-Force (62188), Vulnerability Center (SBV-27910) i Tenable (51840).

Produktinfoedytować

Rodzaj

Sprzedawca

Imię

CPE 2.3infoedytować

CPE 2.2infoedytować

CVSSv3infoedytować

VulDB Wynik metabazy: 10.0
VulDB Wynik metatemperatury: 9.0

VulDB Wynik podstawowy: 10.0
VulDB Wynik tymczasowy: 9.0
VulDB Wektor: 🔍
VulDB Niezawodność: 🔍

CVSSv2infoedytować

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
WektorMożliwość wykorzystaniaUwierzytelnianiePoufnośćIntegralnośćDostępność
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować
odblokowaćodblokowaćodblokowaćodblokowaćodblokowaćodblokować

VulDB Wynik podstawowy: 🔍
VulDB Wynik tymczasowy: 🔍
VulDB Niezawodność: 🔍

NVD Wynik podstawowy: 🔍

Exploitinfoedytować

Klasa: Przepełnienie bufora
CWE: CWE-119
ATT&CK: Nieznany

Lokalny: Nie
Zdalny: Tak

Dostępność: 🔍
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Przewidywanie ceny: 🔍
Aktualny szacunek cena: 🔍

0-Dayodblokowaćodblokowaćodblokowaćodblokować
Dzisiajodblokowaćodblokowaćodblokowaćodblokować

Nessus ID: 51840
Nessus Imię: IBM DB2 9.1 < Fix Pack 10 Multiple Vulnerabilities
Nessus Plik: 🔍
Nessus Ryzyko: 🔍
Nessus Family: 🔍

OpenVAS ID: 801522
OpenVAS Imię: IBM DB2 Multiple Vulnerabilities (Oct10)
OpenVAS Plik: 🔍
OpenVAS Family: 🔍

Inteligencja Zagrożeńinfoedytować

Wysiłek: 🔍
Aktywni aktorzy: 🔍
Aktywne grupy APT: 🔍

Przeciwdziałanieinfoedytować

Zalecane: Upgrade
Status: 🔍

0-dniowy czas: 🔍

Upgrade: db2 9.5

Oś czasuinfoedytować

2010-10-01 🔍
2010-10-01 +0 dni 🔍
2010-10-05 +4 dni 🔍
2010-10-05 +0 dni 🔍
2010-10-05 +0 dni 🔍
2010-10-27 +22 dni 🔍
2011-01-31 +96 dni 🔍
2011-02-01 +1 dni 🔍
2015-03-19 +1507 dni 🔍
2021-09-26 +2383 dni 🔍

Źródłainfoedytować

Sprzedawca: ibm.com

Raport: zerodayinitiative.com
Organizacja: Intevydis
Status: Nie określono
Potwierdzenie: 🔍

CVE: CVE-2010-3731 (🔍)
OVAL: 🔍

X-Force: 62188
Vulnerability Center: 27910 - IBM DB2 UDB 9.5 Before FP6a Remote DoS or Arbitrary Code Execution Vulnerability, Medium
SecurityFocus: 46077 - IBM DB2 Administration Server (DAS) 'validateUser()' Stack Buffer Overflow Vulnerability
Secunia: 41686 - IBM DB2 Administration Server "validateUser()" Buffer Overflow Vulnerability, Moderately Critical
Vupen: ADV-2010-2544

Wpisinfoedytować

Stworzono: 2015-03-19 14:37
Aktualizacje: 2021-09-26 02:14
Zmiany: (2) vulnerability_cvss2_nvd_basescore source_nessus_risk
Kompletny: 🔍

Komentarze

Brak komentarzy. Języki: pl + en.

Zaloguj się, aby skomentować.

Might our Artificial Intelligence support you?

Check our Alexa App!