-
Notifications
You must be signed in to change notification settings - Fork 0
/
db2.xml
453 lines (368 loc) · 36.1 KB
/
db2.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
<Vulns> <Vulnerability added="2008-03-26" gvid="ID105311" id="105311" modified="2012-07-17" published="2007-07-23" version="2.0">
<cvss>(AV:N/AC:H/Au:S/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>Denial of Service</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Remote Execution</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ01828</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>7.1</cvsscode> <severity>Severe</severity> <Description>AUTH_LIST_GROUPS_FOR_AUTHID函数问题的利用可以使攻击者造成拒绝服务或在数据库服务器上执行任意代码系统。在Windows系统上,攻击者可以获得管理员特权。这个缺陷可以远程被任何用户利用,只要是可以建立一个远程数据库连接的都可以。这一缺陷影响在所有平台的DB2 9。这缺陷不存在于DB2 9之前的DB2版本。
这一缺陷被应用程序安全公司的 Ariel Sanchez报告给IBM。</Description> <name>DB2补丁IZ01828: AUTH_LIST_GROUPS_FOR_AUTHID中的安全漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105312" id="105312" modified="2013-12-04" published="2007-09-27" version="2.0">
<cvss>(AV:N/AC:L/Au:N/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="CVE">CVE-2007-3676</id>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ05478</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www-1.ibm.com/support/docview.wss?uid=swg21256235
http://www-1.ibm.com/support/docview.wss?uid=swg21255572</Solutions> <cnnvd>CNNVD-200802-198</cnnvd> <cvsscode>10.0</cvsscode> <severity>Critical</severity> <Description>缓冲区溢出和无效的内存访问漏洞存在于DAS服务器代码。如果攻击者发送一个特制的字符串给DAS服务器,它可能会崩溃。
DAS服务器可能在操作中间崩溃,它会影响连接到DAS服务器上面客户端。使用DAS调度安排的工作程在崩溃后不会运行。
如果我们启用故障监控守护进程重新启动DAS,崩溃的结果可以最小化。
这个问题是由一个与 iDefense Vulnerability Contributor Program (VCP)和Joshua J. Drake of iDefense实验室.&quot;工作的匿名研究者报告给IBM的。
APAR在CVE.mitre.org中处理CVE-2007-3676所描述的问题。</Description> <name>DB2补丁IZ05478:DAS服务器中的缓冲区溢出</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105313" id="105313" modified="2012-07-17" published="2007-04-13" version="2.0">
<cvss>(AV:N/AC:M/Au:S/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Remote Execution</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY97346</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>8.5</cvsscode> <severity>Critical</severity> <Description>DASPROF环境变量中存在着一个缓冲区溢出漏洞。溢出的缓冲区可能导致任意代码的执行和提升特权。这个问题不适用于 Windows系统。
这个问题由与iDefense Vulnerability Contributor Program(VCP) 和 iDefense实验室的Joshua J. Drake一起工作的匿名研究者报告给IBM。</Description> <name>DB2补丁IY97346: DASPROF 环境变量缓冲区溢出漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105314" id="105314" modified="2012-07-17" published="2007-08-23" version="2.0">
<cvss>(AV:N/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ03646</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.0</cvsscode> <severity>Severe</severity> <Description>当运行db2dart工具时,在DB2设计中的本地利用错误可能允许攻击者对db2提升特权。</Description> <name>DB2补丁IZ03646: db2dart允许用户像DB2实例所有者运行命令</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105315" id="105315" modified="2012-07-17" published="2007-02-12" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY94817</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.2</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>多个set-uid DB2二进制中存在漏洞,可以被本地用户利用。漏洞允许本地用户通过使用符号链接(也称为符号链接或软链接)编写系统上的任何文件。这问题并不影响Windows系统。
这个问题被与 iDefense Vulnerability Contributor Program工作的匿名研究员报道在iDefense上。</Description> <name>DB2补丁IY94817:db2diag.log的符号链接覆盖漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105316" id="105316" modified="2012-07-17" published="2007-08-29" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ03881</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>db2licd产生不安全的目录,然后创建这个目录中的一个文件。
恶意攻击者可以通过创建一个符号链接文件覆盖文件系统上的任何文件,然后执行db2licd(作为根用户运行)。</Description> <name>DB2补丁IZ03881: db2licd创建不安全目录</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105317" id="105317" modified="2012-07-17" published="2007-05-01" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY98011</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>当地开发DB2设计错误允许攻击者提升权限到根和/或创建或改变文件,当运行该工具db2licm或通过使用OSSEMEMDBG或TRC_LOG_FILE环境变量时,实例用户一般不会有访问权。这个问题并不适用于Windows系统。
这个问题是由一个与iDefense Vulnerability Contributor Program (VCP) 和 iDefense实验室的Joshua J. Drake一起工作的匿名者报告给IBM的。
如果没有这个APAR,攻击者可以利用这个安全漏洞提升特权和/或创建或更改的文件,实例用户通常不能正常访问。</Description> <name>DB2 补丁 IY98011: db2licd中的权限升级</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105318" id="105318" modified="2012-07-17" published="2007-04-26" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY97922</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>当运行工具db2licm 或 db2pd时,DB2的设计错误允许攻击者提高根特权。这个问题不适用于Windows系统。
这些问题是由一个与 iDefense Vulnerability Contributor Program (VCP) 和 iDefense实验室的Joshua J. Drake的匿名者报告给IBM的。</Description> <name>DB2补丁IY97922:db2licm和db2pd中的权限升级</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105319" id="105319" modified="2012-07-17" published="2007-08-14" version="2.0">
<cvss>(AV:L/AC:M/Au:N/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="CVE">CVE-2007-5757</id>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ03073</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www-1.ibm.com/support/docview.wss?uid=swg21256235
http://www-1.ibm.com/support/docview.wss?uid=swg21255572</Solutions> <cnnvd>CNNVD-200802-199</cnnvd> <cvsscode>6.9</cvsscode> <severity>Severe</severity> <Description>当运行db2pd工具时,db2pd设计错误中的本地利用可允许攻击者根特权。
这些问题是由一个与 iDefense Vulnerability Contributor Program (VCP) 和 Joshua J. Drake of iDefense实验室的匿名者报告给IBM的。
APAR处理了CVE.mitre.org中CVE-2007-5757描述的问题。</Description> <name>DB2 补丁IZ03073:db2pd中本地root权限升级</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105320" id="105320" modified="2012-07-17" published="2007-08-23" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ03655</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>运行DB2watch和Db2freeze可能造成不明确的安全漏洞</Description> <name>DB2补丁IZ03655: db2watch和db2freeze受到多个安全漏洞的影响</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105321" id="105321" modified="2012-07-17" published="2007-06-15" version="2.0">
<cvss>(AV:L/AC:M/Au:N/C:N/I:N/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>Denial of Service</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ00188</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.7</cvsscode> <severity>Severe</severity> <Description>在发送有效的凭据(用户ID /密码)前,DRDA请求EXCSAT和ACCSEC发送到DB2引擎以建立有效的连接。如果通过黑客网络流更改ACCSEC的长度字段,DB2引擎可能崩溃。在发送有效的凭据(用户ID /密码)前,DRDA请求EXCSAT和ACCSEC发送到DB2引擎以建立有效的连接。如果通过黑客网络流更改ACCSEC的长度字段,DB2引擎可能崩溃。连接请求期间,DRDA请求被发送至DB2服务器。如果以特定的、恶意的方式修改DRDA请求,DB2服务器可能会崩溃。问题说明(预防性):一个格式错误的连接请求可能导致DB2服务器崩溃,导致拒绝服务。</Description> <name>DB2补丁IZ00188: 如果DRDA流被黑客攻击DB2引擎崩溃</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105322" id="105322" modified="2012-07-17" published="2006-08-15" version="2.0">
<cvss>(AV:N/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY88158</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.1</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.0</cvsscode> <severity>Severe</severity> <Description>撤销方法上的权限后,用户可能仍然能够执行所述方法,直到常规认证刷新缓存(数据库停用)。</Description> <name>DB2补丁IY88158:执行权限可能在撤销后持续存在</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105323" id="105323" modified="2012-07-17" published="2006-07-31" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY87492</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.2</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>多个set-uid DB2二进制中存在漏洞,可以被本地用户利用。漏洞允许本地用户通过使用符号链接(也称为符号链接或软链接)编写系统上的任何文件。这问题并不影响Windows系统。
这个问题被与 iDefense Vulnerability Contributor Program工作的匿名研究员报道在iDefense上。</Description> <name>DB2补丁IY87492:隔离userid错误能够访问目录</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105324" id="105324" modified="2015-02-13" published="2007-07-26" version="2.0">
<cvss>(AV:L/AC:M/Au:N/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="BID">25339</id>
<id name="CVE">CVE-2007-4275</id>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ01923</id>
<id name="XF">36062</id>
<id name="XF">36064</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions></Solutions> <cnnvd></cnnvd> <cvsscode>6.9</cvsscode> <severity>Severe</severity> <Description>当DB2实例或FMP启动时,DB2里的设计错误允许攻击者提高特权。这个问题仅适用于Linux和Solaris。
这些问题是由一个与 iDefense Vulnerability Contributor Program (VCP) 和 iDefense实验室的Joshua J. Drake的匿名者报告给IBM的。此APAR处理了在CVE.mitre.org中CVE-2007-4275描述的问题。</Description> <name>DB2补丁IZ01923:实例和FMP启动期间的权限升级</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105325" id="105325" modified="2012-07-17" published="2006-10-11" version="2.0">
<cvss>(AV:N/AC:L/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Policy Violation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY90532</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.1</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.5</cvsscode> <severity>Severe</severity> <Description>使用单一ALTER TABLE语句添加行和列
保护不正确应用行保护。
例如:
<pre>
ALTER TABLE X ALTER COLUMN C1 SECURED WITH LABEL_A ADD COLUMN
RECORD_TAG DB2SECURITYLABEL ADD SECURITY POLICY
POLICT_X
</pre>
以上的命令应该启用行和列的保护。
然而,只有列启用保护。允许
用户可以看见表中所有的行。</Description> <name>DB2补丁IY90532:LBAC行保护不总是有效</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105326" id="105326" modified="2012-07-17" published="2007-07-26" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY94833</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.2</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>4.1</cvsscode> <severity>Severe</severity> <Description>当使用某些DB2环境变量时,DB2设计错误的当地开发允许攻击者提高根特权。这个缓冲区溢出脆弱性可发生在众多的DB2环境变量中。
这些问题是由Joshua J. Drake (iDefense实验室)发现并报告给IBM的。</Description> <name>DB2补丁IY94833:多个环境变量缓冲区溢出和符号链接漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105327" id="105327" modified="2012-07-17" published="2007-02-12" version="2.0">
<cvss>(AV:N/AC:M/Au:S/C:P/I:P/A:P)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1JR25941</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.2</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.0</cvsscode> <severity>Severe</severity> <Description>它有可能绕过DB2授权检查。该漏洞可以使拥有SELECT特权的用户在表上更新或删除该表中的内容,即使它们不持有所要求的更新和/或删除权限。</Description> <name>DB2补丁JR25941:选择权限升级</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105328" id="105328" modified="2012-07-17" published="2007-10-22" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
<tag>Privilege Escalation</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ07018</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.6</cvsscode> <severity>Severe</severity> <Description>多个set-uid DB2二进制文件存在漏洞,可以被本地用户利用。漏洞允许本地用户在系统上通过符号连接的使用创建目录作为根。
这个问题不影响Windows系统。</Description> <name>DB2补丁IZ07018: 几个 Setuid DB2 二进制文件中的漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105329" id="105329" modified="2015-02-13" published="2007-05-03" version="2.0">
<cvss>(AV:L/AC:M/Au:N/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="BID">25339</id>
<id name="CVE">CVE-2007-4275</id>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY98176</id>
<id name="XF">36062</id>
<id name="XF">36064</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions></Solutions> <cnnvd></cnnvd> <cvsscode>6.9</cvsscode> <severity>Severe</severity> <Description>当DB2 &quot;execs&quot;作为根运行时,DB2里的设计错误允许攻击者提高特权。这个问题不适用于Windows系统。
这些问题是由一个与 iDefense Vulnerability Contributor Program (VCP) 和iDefense实验室的Joshua J. Drake的匿名者报告给IBM的。此APAR处理了在CVE.mitre.org中CVE-2007-4275描述的问题。</Description> <name>DB2补丁IY98176: DB2 "execs"执行文件中的安全漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105330" id="105330" modified="2012-07-17" published="2007-05-04" version="2.0">
<cvss>(AV:L/AC:M/Au:S/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IY98210</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.3</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.6</cvsscode> <severity>Severe</severity> <Description>当DB2 打开文件时,这可能会被符号连接但作为根运行,DB2设计错误的当地开发允许攻击者提高根特权。这个问题不适用于Windows系统。
这些问题是由一个与 iDefense Vulnerability Contributor Program (VCP) 和 iDefense实验室的Joshua J. Drake的匿名者报告给IBM的。</Description> <name>DB2补丁IY98210:打开DB2文件时的符号链接安全漏洞</name> </Vulnerability> <Vulnerability added="2008-03-26" gvid="ID105331" id="105331" modified="2012-07-17" published="2007-09-26" version="2.0">
<cvss>(AV:L/AC:H/Au:S/C:C/I:C/A:C)</cvss>
<Tags>
<tag>Database</tag>
<tag>IBM</tag>
<tag>IBM DB2</tag>
</Tags>
<AlternateIds>
<id name="URL">http://www-1.ibm.com/support/docview.wss?uid=swg1IZ05461</id>
</AlternateIds>
<Check scope="endpoint"> <NetworkService type="DB2">
<Product name="DB2" vendor="IBM">
<version> <range> <low>9.0</low> <high>9.1.4</high> </range> </version>
</Product>
</NetworkService> </Check> <Solutions>目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://www.alice-dsl.de/</Solutions> <cnnvd></cnnvd> <cvsscode>6.0</cvsscode> <severity>Severe</severity> <Description>当运行db2pd工具时,在DB2设计中的本地利用错误可能允许攻击者提升权限到root。当SSL建立在DB2数据库服务器中时,此问题并不适用于Windows系统。</Description> <name>DB2 Patch IZ05461: SSL支持中的安全漏洞</name> </Vulnerability></Vulns>