锋速体育直播:云宁静日报201010:IBM DB2发现执行任意代码的特权问题 需要尽快升级

时间:2020-10-15     访问次数: 79     信息来源:锋速体育直播

  • 针对links和Windows的IBM DB2(包括DB2 Connect服务器)可以让本地用户利用符号链接的竞争条件获取敏感信息。

    解决办法

    麻烦细节

    运行受影响法语的任何易受攻击的修订包级别。此外,客户可以从修复中心下载包含此问题的临时版本的特殊版本。根据每个受影响出版物版本的最新修订包级别,可以提供这些特殊版本:V9.7 FP11V10.1 FP6V10.5 FP11、11.1 FP5和V11.5 GA.它们可以应用于任何受影响的适当版本的修订级别,以修复此问题。

    5.CVE ID: CVE-2020-4414 CVSS评分:5.1中等

    IBM DB2是美国IBM公司开发的关系数据库治理系统。它的主要运行条件是UNIX(包括IBM自己的AIX)、Linux、IBM i(原名OS/400)、z/OS和Windows服务器版本。10月9日,IBM宣布了一项悄无声息的公告。IBM DB2发现执行任意代码权限的高风险问题需要尽快升级。以下是问题的细节:

    2.CVE ID: CVE-2020-4420 CVSS得分:7.5分高

    https://www.ibm.com/blogs/psirt/

    适用于Linux和Windows的IBM DB2(包括DB2 Connect服务器)容易受到拒绝服务攻击,这是由于对处理安静套接字层(SSL)重新协商请求的不当惩罚造成的。远程攻击者可以通过发送巧尽心思构建的请求,利用此漏洞来提高系统的资源利用率。

    原标题:云宁静日报201010:IBM DB2发现执行任意代码的特权需要尽快升级

    所有平台上的IBM Db2 V9.7V10.1V10.5V11.1和V11.5版本的所有修订包级别都会受到影响。

    受影响的产品和版本

    适用于Linux和Windows的IBM DB2(包括DB2 Connect服务器)可能会允许本地攻击者因共享内存使用不当而对系统执行未经授权的操作。发送特制请求的攻击者可以利用此漏洞获取敏感信息或导致拒绝服务。

    3.CVE ID:CVE-2020-4386 CVE-2020-4387 CVSS得分:6.2中等

    更多信息和升级请见官网:

    用于Linux和Windows的IBM DB2(包括DB2 Connect服务器)可能会允许未经身份验证的攻击者因执行终止命令而挂起,从而导致拒绝服务。

    1.CVE id: CVE-2020-4363 CVS评分:8.4高风险

    用于Linux和Windows的IBM DB2(包括DB2 Connect服务器)易受缓冲区溢出的攻击,缓冲区溢出是由不正确的边界检查引起的,这可能允许本地攻击者使用root权限在系统上执行任意代码。

    4.CVE ID: CVE-2020-4355 CVSS评分:5.3中等