IBM DB2 多个权限许可和访问控制漏洞

CNNVD-ID编号	CNNVD-201009-210	CVE编号	CVE-2010-3475
发布时间	2010-09-26	更新时间	2010-09-26
漏洞类型	权限许可和访问控制	漏洞来源	The vendor disclosed these issues.
危险等级	中危	威胁类型	远程
厂商	ibm

漏洞介绍

IBM DB2是美国IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBM i、z/OS以及Windows服务器版本。

IBM DB2 FP3之前的9.7版本在执行进入动态SQL缓存时不能正确执行权限请求。远程认证用户通过利用缓存去执行包含经过编译的、复合的SQL状态中的UPDATE状态绕过访问限制。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www-01.ibm.com/support/docview.wss?rs=71&uid=swg27007053

来源: XF

名称: ibm-db2-sql-security-bypass(61873)

链接：http://xforce.iss.net/xforce/xfdb/61873
来源: VUPEN

名称: ADV-2010-2425

链接：http://www.vupen.com/english/advisories/2010/2425
来源: SECTRACK

名称: 1024458

链接：http://www.securitytracker.com/id?1024458
来源: BID

名称: 43291

链接：http://www.securityfocus.com/bid/43291
来源: www.ibm.com

链接：http://www.ibm.com/support/docview.wss?uid=swg21446455
来源: AIXAPAR

名称: IC70406

链接：http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
来源: SECUNIA

名称: 41444

链接：http://secunia.com/advisories/41444