S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 septembre 2009
N° CERTA-2009-AVI-412
Affaire suivie par: CERT-FR
le 30 septembre 2009

Avis du CERT-FR

Objet: Vulnérabilités dans IBM DB2

Gestion du document

Référence CERTA-2009-AVI-412
Titre Vulnérabilités dans IBM DB2
Date de la première version 30 septembre 2009
Date de la dernière version 30 septembre 2009
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

IBM DB2 versions 8 et 9.

Résumé

Plusieurs vulnérabilités présentes dans IBM DB2 permettent à un utilisateur malveillant de contourner la politique de sécurité et de porter atteinte à l'intégrité et à la confidentialité des données.

Description

Plusieurs vulnérabilités sont présentes dans IBM DB2 :

  • quand l'authentification utilise LDAP, des connexions non autorisées sont possibles ;
  • la perte des privilèges pour modifier une table n'est pas répercutée convenablement ;
  • une erreur non précisée permet à un utilisateur malveillant d'insérer, de modifier ou de supprimer sans droits des enregistrements ;
  • une erreur non précisée permet à un utilisateur malveillant d'utiliser sans droits la commande SET USER AUTHORIZATION TO et ainsi d'acquérir les privilèges d'un autre utilisateur.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 30 septembre 2009
    version initiale.