Vigil@nce : IBM DB2 9.7, deux vulnérabilités
septembre 2010 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités d’IBM DB2, afin
d’exécuter des fonctionnalités privilégiées.
– Gravité : 2/4
– Date création : 17/09/2010
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans IBM DB2.
Lorsque les privilèges sur un objet sont révoqués pour PUBLIC, un
attaquant local peut continuer à exécuter les fonctions, car elles
ne sont pas marquées INVALID. [grav:2/4 ; IC68015]
Lorsqu’un utilisateur privilégié a utilisé un Compound SQL
(compilé), il est mis en cache. Cependant, les droits d’accès au
cache ne sont pas vérifiés. Un attaquant non privilégié peut donc
exécuter la requête en cache. [grav:2/4 ; IC70406]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/IBM-DB2-9-7-deux-vulnerabilites-9952