每日一句: Build your own dreams, or someone else will hire you to build theirs. 打造自己的梦想,否则你就会被雇用去打造别人的梦想。 跟读

汉语站

2018年1月18日 星期四

丁酉(鸡)年十二月初二

IBM大型商业关系数据库系统DB2拒绝服务漏洞 - 受影响系统 [回目录]


IBM DB2 Universal Database 8.x

IBM大型商业关系数据库系统DB2拒绝服务漏洞 - 不受影响系统 [回目录]


IBM DB2 Universal Database 8.1 FixPak 12

IBM大型商业关系数据库系统DB2拒绝服务漏洞 - 描述 [回目录]


IBM DB2是一个大型的商业关系数据库系统,面向电子商务、商业资讯、内容管理、客户关系管理等应用,可运行于AIX、HP-UX、Linux、Solaris、Windows等系统

DB2的实现上存在多个拒绝服务漏洞远程或本地攻击者可能导致服务器拒绝服务。

在创建到数据库的连接时客户端所使用的第一个消息是EXCSAT(消息代码0x1041)。这个消息中包含有名为MGRLVLLS(code 0x2114)的对象。当MGRLVLLS消息足够大(>1Kb字节)时,就会触发缓冲区溢出。如果客户端在发送完这个消息后立即终止连接,就会导致终止服务进程。

如果LOAD命令中的REPLACE INTO或INSERT INTO部分中所指定的column list超长的话,或如果在column list中使用了错误的分隔符的话(如使用了分号而不是逗号),就可能用column list覆盖进程栈,导致例程立即崩溃。

在使用downlevel客户端连接到数据库时,如果由于某种原因静态sql软件包信息中的信息被破坏,就会导致服务器崩溃。

由于在耗尽语句堆后没有正确的处理错误,类似于以下的SQL会导致例程崩溃:SELECT * FROM TABLE1 WHERE COL1 IN(123,456,..);

恶意的CONNECT或ATTACH请求可能在DB2服务器中触发溢出,导致例程崩溃。

IBM大型商业关系数据库系统DB2拒绝服务漏洞 - 厂商补丁 [回目录]


IBM
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.ers.ibm.com/

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
词条统计

浏览次数 : 3054 次

编辑次数 : 1 次 历史版本

更新时间 : 2009-08-05

双语连环画