[转载]IBM DB2握手协议拒绝服务漏洞
信息来源:绿盟科技发布日期:2006-08-18
更新日期:2006-09-07
受影响系统:
IBM DB2 Universal Database 8.x
不受影响系统:
IBM DB2 Universal Database 8.1 FixPak 13
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 19586
CVE(CAN) ID: CVE-2006-4257
IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。
IBM DB2处理认证操作的实现上存在漏洞,远程攻击者可能导致服务器拒绝服务。
通过用户口令认证创建到DB2 UDB服务器连接的过程包含以下几个命令:EXCSAT(交换服务器属性)、ACCSEC(访问安全)、SECCHK(安全检查)和ACCRDB(访问RDB)。其中一些命令中会出现的RDBNAM参数用于指定命令访问RDB的名称。在握手过程中ACCSEC通常会出现两次。如果第一次ACCSEC命令遗漏了RDBNAM参数的话,尽管仍可创建连接,但DB2 UDB服务器会变得不稳定。一旦创建了连接,通过这个连接发送的简单命令(如SELECT)就会导致服务意外终止。
<*来源:Tal Ryterski ([email]shulman@imperva.com[/email])
链接:[url]http://marc.theaimsgroup.com/?l=bugtraq&m=115755471403678&w=2[/url]
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
[url]http://www-1.ibm.com/support/docview.wss?uid=swg24013114[/url]
页:
[1]