DB2数据库缓冲区溢出及拒绝服务漏洞

流行病毒专杀工具: ·SDBot病毒　　·QQ尾巴
·RBot病毒　　　·狙击波
·可疑文件扫描　·震荡波
·剑网木马　　　·五毒虫
·MSN性感鸡　   ·重要警报
·冲击波        ·网银大盗
·诺维格        ·恶鹰
·安哥病毒　    ·勒托专杀
·毒霸注册表修复·MSN小尾巴专杀
·股票盗贼专杀　·JPEG病毒专杀
·网银大盗专杀　·剑侠木马专杀
·新欢乐时光    ·蠕虫王专杀
·QQ病毒专杀    ·射线病毒专杀
·NetSky专杀    ·诺维格专杀
·CIH病毒专杀   ·红色代码２
·熊猫烧香专杀·求职信病毒
·尼姆达病毒专杀·恶邮差专杀

您现在的位置：企业网络安全 >> 文章·资讯 >> 最新资讯 >> 病毒漏洞 >> 文章正文

DB2数据库缓冲区溢出及拒绝服务漏洞

作者：佚名文章来源：本站原创点击数：更新时间：2007-10-14 7:49:28

发布日期：2007-10-10

　　更新日期：2007-10-11

　　受影响系统：

　　IBM DB2 Universal Database 8.2

　　IBM DB2 Universal Database 8.1

　　不受影响系统：

　　IBM DB2 Universal Database 8.2 FixPak 8

　　IBM DB2 Universal Database 8.1 FixPak 15

　　描述：

　　BUGTRAQ ID: 26010

　　CVE(CAN) ID: CVE-2007-5324

　　IBM DB2是一个大型的商业关系数据库系统，面向电子商务、商业资讯、内容管理、客户关系管理等应用，可运行于AIX、HP-UX、Linux、Solaris、Windows等系统。

　　DB2的DB2JDS服务处理畸形请求数据时存在多个缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制服务器或导致拒绝服务。

　　DB2的DB2JDS服务监听于TCP 6789端口。由于内部的sprintf()调用没有正确地处理特制报文，因此如果向该服务发送了恶意报文就可以触发栈溢出，导致执行任意指令。

　　此外，如果在请求中包含有无效的LANG参数，或发送报文的长度超过32768字节的话，就会触发另外两个溢出，导致进程终止。

　　<*来源：ZDI (http://www.zerodayinitiative.com/)

　　建议：

　　厂商补丁：

　　IBM

　　---

　　目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

免责声明：作品版权归所属媒体与作者所有!!本站刊载此文不代表同意其说法或描述，仅为提供更多信息。如果您认为我们侵犯了您的版权，请告知！本站立即删除。有异议请联系我们。

文章录入：admin 责任编辑：admin

网友评论：（只显示最新10条。评论内容只代表网友观点，与本站立场无关！）