L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de IBM DB2 UDB

bulletin de vulnérabilité CVE-2014-3094 CVE-2014-3095 CVE-2014-6097

IBM DB2 9.7 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IBM DB2 9.7.
Produits concernés : DB2 UDB.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 06/11/2014.
Références : 1450666, CVE-2014-3094, CVE-2014-3095, CVE-2014-6097, CVE-2014-6159, IT02291, IT02433, IT02592, IT02645, IT02646, IT03786, IT04730, IT05074, IT05105, VIGILANCE-VUL-15603.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IBM DB2 9.7.

Un attaquant peut utiliser ALTER MODULE, afin de mener un déni de service. [grav:1/4; CVE-2014-3094, IT02291, IT02592]

Un attaquant peut provoquer une erreur dans le SQL Compiler, afin de mener un déni de service. [grav:1/4; CVE-2014-3095, IT02433, IT02645, IT02646]

Un attaquant peut utiliser la commande ALTER TABLE, afin de mener un déni de service. [grav:1/4; CVE-2014-6097, IT03786]

Un attaquant peut utiliser la commande ALTER TABLE avec AUTO_REVAL configuré à IMMEDIATE, afin de mener un déni de service. [grav:1/4; CVE-2014-6159, IT04730, IT05074, IT05105]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2013-6371 CVE-2014-3094 CVE-2014-3095

IBM DB2 10.5 : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de IBM DB2 10.5.
Produits concernés : DB2 UDB.
Gravité : 2/4.
Conséquences : lecture de données, déni de service du service.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 29/08/2014.
Références : 1647054, CVE-2013-6371, CVE-2014-3094, CVE-2014-3095, CVE-2014-4805, IT02201, IT02291, IT02433, IT02592, IT02645, IT02646, IT03761, VIGILANCE-VUL-15245.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans IBM DB2 10.5.

Un attaquant peut employer des données JSON spéciales, pour provoquer de collisions dans une fonction de hachage, afin de mener un déni de service (VIGILANCE-VUL-14615). [grav:2/4; CVE-2013-6371, IT02201]

Un attaquant peut utiliser ALTER MODULE, afin de mener un déni de service. [grav:1/4; CVE-2014-3094, IT02291, IT02592]

Un attaquant peut provoquer une erreur dans le SQL Compiler, afin de mener un déni de service. [grav:1/4; CVE-2014-3095, IT02433, IT02645, IT02646]

Un attaquant peut utiliser LOAD, afin d'obtenir des informations sensibles. [grav:2/4; CVE-2014-4805, IT03761]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2014-2483 CVE-2014-2490 CVE-2014-4208

Oracle Java : multiples vulnérabilités de juillet 2014

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Oracle Java.
Produits concernés : Debian, Fedora, HP-UX, AIX, DB2 UDB, Domino, Notes, Tivoli Workload Scheduler, WebSphere AS Traditional, WebSphere MQ, MBS, ePO, Java OpenJDK, openSUSE, Java Oracle, JavaFX, Puppet, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu, Unix (plateforme) ~ non exhaustif, vCenter Server, VMware vSphere.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur, lecture de données, création/modification de données, effacement de données, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/07/2014.
Références : 1680418, 1686749, 1686824, 1689579, 7014224, c04398922, c04398943, CERTFR-2014-AVI-320, cpujul2014, CVE-2014-2483, CVE-2014-2490, CVE-2014-4208, CVE-2014-4209, CVE-2014-4216, CVE-2014-4218, CVE-2014-4219, CVE-2014-4220, CVE-2014-4221, CVE-2014-4223, CVE-2014-4227, CVE-2014-4244, CVE-2014-4247, CVE-2014-4252, CVE-2014-4262, CVE-2014-4263, CVE-2014-4264, CVE-2014-4265, CVE-2014-4266, CVE-2014-4268, DSA-2980-1, DSA-2987-1, DSA-2987-2, FEDORA-2014-8395, FEDORA-2014-8407, FEDORA-2014-8417, FEDORA-2014-8441, HPSBUX03091, HPSBUX03092, MDVSA-2014:141, openSUSE-SU-2014:1638-1, openSUSE-SU-2014:1645-1, RHSA-2014:0889-01, RHSA-2014:0890-01, RHSA-2014:0902-01, RHSA-2014:0907-01, RHSA-2014:0908-01, RHSA-2014:1033-01, RHSA-2014:1036-01, RHSA-2014:1041-01, RHSA-2014:1042-01, SB10083, SSRT101667, SSRT101668, SUSE-SU-2014:0961-1, USN-2312-1, USN-2319-1, USN-2319-2, USN-2319-3, VIGILANCE-VUL-15051, VMSA-2014-0008.2, VMSA-2014-0012, ZDI-14-258.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Oracle Java.

Un attaquant peut employer une vulnérabilité de Deployment, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4227]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4219]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2490, ZDI-14-258]

Un attaquant peut employer une vulnérabilité de Hotspot, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4216]

Un attaquant peut employer une vulnérabilité de JavaFX, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4247]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-2483]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4223]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations, d'altérer des informations, ou de mener un déni de service. [grav:3/4; CVE-2014-4262]

Un attaquant peut employer une vulnérabilité de JMX, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-4209]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2014-4265]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:2/4; CVE-2014-4220]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'altérer des informations. [grav:2/4; CVE-2014-4218]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir des informations. [grav:2/4; CVE-2014-4252]

Un attaquant peut employer une vulnérabilité de Serviceability, afin d'altérer des informations. [grav:2/4; CVE-2014-4266]

Un attaquant peut employer une vulnérabilité de Swing, afin d'obtenir des informations. [grav:2/4; CVE-2014-4268]

Un attaquant peut employer une vulnérabilité de Security, afin de mener un déni de service. [grav:2/4; CVE-2014-4264]

Un attaquant peut employer une vulnérabilité de Libraries, afin d'obtenir des informations. [grav:2/4; CVE-2014-4221]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-4244]

Un attaquant peut employer une vulnérabilité de Security, afin d'obtenir ou d'altérer des informations. [grav:2/4; CVE-2014-4263]

Un attaquant peut employer une vulnérabilité de Deployment, afin d'altérer des informations. [grav:1/4; CVE-2014-4208]
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2014-0907

IBM DB2 : élévation de privilèges via acsX et db2iclean

Synthèse de la vulnérabilité

Un attaquant local peut créer une bibliothèque illicite, qui est chargée par acscim, acsnnas, acsnsan et db2iclean de IBM DB2, afin d'élever ses privilèges.
Produits concernés : DB2 UDB, Tivoli Workload Scheduler.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/05/2014.
Date révision : 04/06/2014.
Références : 1610582, 1672100, 1678196, CVE-2014-0907, VIGILANCE-VUL-14801.

Description de la vulnérabilité

Le produit IBM DB2 installe plusieurs programmes suid root : acscim, acsnnas, acsnsan et db2iclean.

Cependant, ils sont compilés avec un RPATH relatif, c'est-à-dire qu'ils acceptent de charger les bibliothèques situées à partir du répertoire courant.

Un attaquant local peut donc créer une bibliothèque illicite, qui est chargée par acscim, acsnnas, acsnsan et db2iclean de IBM DB2, afin d'élever ses privilèges.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2013-6744

IBM DB2 : élévation de privilèges via Stored Procedure

Synthèse de la vulnérabilité

Produits concernés : DB2 UDB.
Gravité : 2/4.
Conséquences : accès/droits privilégié.
Provenance : compte utilisateur.
Confiance : confirmé par l'éditeur (5/5).
Date création : 26/05/2014.
Références : 1610582, 1673947, CVE-2013-6744, VIGILANCE-VUL-14800.

Description de la vulnérabilité

Un attaquant local, avec le privilège CREATE_EXTERNAL_ROUTINE, peut créer une Stored Procedure de IBM DB2, afin d'élever ses privilèges sous Windows.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2014-0963

IBM GSKit : boucle infinie de SSL

Synthèse de la vulnérabilité

Un attaquant peut envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Produits concernés : DB2 UDB, Domino, I-Connect, Informix Server, Notes, Security Directory Server, SPSS Modeler, Tivoli Storage Manager, Tivoli Workload Scheduler.
Gravité : 3/4.
Conséquences : déni de service du service, déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 20/05/2014.
Références : 1610582, 1671732, 1672724, 1673008, 1673018, 1673666, 1673696, 1674047, 1674824, 1674825, 1681114, 7042179, CVE-2014-0963, VIGILANCE-VUL-14775.

Description de la vulnérabilité

La suite IBM Global Security Kit (GSKit) implémente le support de SSL/TLS pour plusieurs applications IBM.

Cependant, certains messages SSL provoquent une boucle infinie dans GSKit.

Un attaquant peut donc envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2013-6747

IBM GSKit : déni de service via SSL/TLS

Synthèse de la vulnérabilité

Un attaquant peut envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Produits concernés : DB2 UDB, Informix Server, Security Directory Server, SPSS Modeler, Tivoli Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere MQ.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 30/01/2014.
Références : 1610582, 1662902, 1665137, 1668664, 1670524, 1671732, 1673696, 1674047, 1674824, 1674825, CVE-2013-6747, VIGILANCE-VUL-14158.

Description de la vulnérabilité

La suite IBM Global Security Kit (GSKit) implémente le support de SSL/TLS pour plusieurs applications IBM.

Cependant, une chaîne de certificats malformée provoque une erreur.

Un attaquant peut donc envoyer des messages SSL/TLS illicites vers les applications utilisant IBM GSKit, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2013-5449

IBM DB2 Information Center : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de IBM DB2 Information Center, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : DB2 UDB.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/01/2014.
Références : 1657369, CVE-2013-5449, VIGILANCE-VUL-14113.

Description de la vulnérabilité

Le produit IBM DB2 Information Center dispose d'un service web.

Cependant, il ne filtre pas les données reçues avant de les insérer dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de IBM DB2 Information Center, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2013-5879

Oracle Outside In Technology : déni de service via Outside In Maintenance

Synthèse de la vulnérabilité

Produits concernés : DB2 UDB, Oracle OIT.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 15/01/2014.
Références : 1682096, BID-64825, CERTA-2014-AVI-022, cpujan2014, CVE-2013-5879, VIGILANCE-VUL-14090.

Description de la vulnérabilité

Un attaquant peut envoyer un document illicite vers Outside In Maintenance de Oracle Outside In Technology, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2013-5466

IBM DB2 : déréférencement de pointeur NULL via XSLT

Synthèse de la vulnérabilité

Un attaquant peut créer un fichier XSLT illicite, pour déréférencer un pointeur NULL dans IBM DB2, afin de mener un déni de service.
Produits concernés : DB2 UDB.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/12/2013.
Références : 1450666, 1610582, 1647054, 1660046, BID-64334, CVE-2013-5466, IC97402, IC97470, IC97471, IC97472, IC97763, VIGILANCE-VUL-13951.

Description de la vulnérabilité

Le produit IBM DB2 analyse les fichiers XSLT.

Cependant, il ne vérifie pas si un pointeur est NULL, avant de l'utiliser.

Un attaquant peut donc créer un fichier XSLT illicite, pour déréférencer un pointeur NULL dans IBM DB2, afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur IBM DB2 UDB :