Vulnérabilité dans IBM Db2
Date de publication :
Un dépassement d’entier est une erreur produite lorsque le résultat d’une opération mathématique est supérieur au plus grand nombre entier représentable dans le système qui l’héberge.
IBM Db2 est un système de gestion de base de données produit par IBM.
CVE-2022-25315[Score CVSS v3.1: 7.8]
Une faille provenant de libexpat dans la fonction storeRawNames permet à un attaquant, en persuadant une victime d’ouvrir un fichier spécialement forgé, d’exécuter du code arbitraire et de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Déni de service
Criticité
Score CVSS v3.1: 7.8
La faille est activement exploitée
Non
Un correctif existe
Oui
Une mesure de contournement existe
Non
La vulnérabilité exploitée est du type
CWE-190: Integer Overflow or Wraparound
Détails sur l’exploitation
Vecteur d’attaque : Local.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Oui.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Les produits IBM Db2 V9.7, V10.1, V10.5 et V11.1 sont affectés par cette vulnérabilité.
Solutions ou recommandations
- Mettre à jour les produits IBM Db2 avec les correctifs provisoires suivants : V9.7 FP11, V10.1 FP6, V10.5 FP11 et V11.1.4 FP7. Des informations complémentaires sont disponibles ici.