Multiples vulnérabilités dans DB2 affectant les serveurs IBM Spectrum Protect

IBM DB2 est une base de données produite par IBM et est utilisée dans le serveur IBM Spectrum Protect (Anciennement Tivoli Storage Manager).

Les versions d’IBM DB2 disponibles pour Linux, Unix, et Windows  sont vulnérables à un dépassement de tampon qui pourrait  permettre à un utilisateur local d’écraser les fichiers DB2 ou de causer un déni de service.

Le même produit est également vulnérable à un autre dépassement de tampon qui pourrait  permettre à un utilisateur local d’exécuter du code sur le serveur.

IBM a publié dans un bulletin de sécurité les patchs nécessaires pour remédier à cette vulnérabilité.

Informations
+

Impact

  • Déni de service
  • Élévation de privilèges.

Criticité

CVSS v3 : 5.2

Existence d’un code d’exploitation de la vulnérabilité

Un code d'exploitation de la vulnérabilité est disponible à l’adresse suivante.

Composants & versions vulnérables

  • 8.1.0.0 jusqu’à 8.1.2.x
  • 7.1.0.0 jusqu’à 7.1.7.x
  • 6.3 et versions antérieures

CVE

  • CVE-2017-1105
  • CVE-2017-1297

Recommandations
+

Correctifs

IBM a publié une version corrigeant cette vulnérabilité disponible sur le site de l'éditeur.

Solution de contournement

Il n’existe pas actuellement de solution de contournement.