服务器、网络安全十月份漏洞播报(7)

7、IBM DB2 Universal Database多个漏洞

    公布时间：
    2005-9-20

    CVE号：
    无

    风险等级：
    高

    影响系统：
    安装了FixPak 9及以下版本的IBM DB2 Universal Database 8

    漏洞描述：
    IBM DB2 Universal Database中存在多个漏洞，其中包括：
    使用哈希连接(hsjn)时可能会遇到死循环，错误消息会导致日志文件占满磁盘空间。
    DB2在运行特殊SQL时会崩溃;
    非正常终止远程连接导致服务器上的ORPHAN DB2AGENTS消耗CPU资源耗尽
    用户无需执行权限便可以创建基于例程的对象;
    SYSCAT.TABLES中的WITH/SELECT语句会导致实例崩溃;
    在从低层客户端连接时db2jd服务会结束;
    在IN-list中使用多于32000个单元编译请求时会导致实例崩溃。
    远程攻击者可以利用这些漏洞导致数据库拒绝服务，或未经授权就可创建对象。

    解决方案：
    安装IBM DB2 Universal Database Version8 Fixpak 10(Version 8.2 Fixpak 3):
    http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24010283

     信息来源：感谢榕基企业提供漏洞播报

• 第1页：phpMyAdmin多个漏洞
• 第2页：SCO OpenServer 5.0.7的authsh与backupsh存在缓冲区溢出漏洞
• 第3页：Oracle数据库服务器多个紧急和高风险漏洞
• 第4页：PHP本地安全目录限制绕过漏洞

• 第5页：Solaris 10 本地拒绝服务漏洞
• 第6页：Linux核心控制台键盘映射本地命令注入漏洞
• 第7页：IBM DB2 Universal Database多个漏洞

（编辑：ASP站长网）