S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 décembre 2006
N^o CERTA-2006-AVI-560

Affaire suivie par :

CERTA

AVIS DU CERTA

Objet : Vulnérabilité d'IBM DB2

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-560

Gestion du document

Tableau 1: Gestion du document

Référence	CERTA-2006-AVI-560
Titre	Vulnérabilité d'IBM DB2
Date de la première version	18 décembre 2006
Date de la dernière version	-
Source(s)	Alerte de Team Shatter du 30 novembre 2006
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Déni de service à distance ;
contournement de la politique de sécurité.

2 Systèmes affectés

IBM DB2 Database Server version 8.1, sans FixPak 14 ;
IBM DB2 Database Server version 8.2, sans FixPak 7.

3 Description

Une vulnérabilité a été identifiée dans certaines versions d'IBM DB2 Database Server. Le serveur n'interpréterait pas correctement certaines requêtes d'initiation de connexion. Une personne malveillante distante peut exploiter cette vulnérabilité, sous forme d'un paquet de type SQLJRA, pour perturber le bon fonctionnement du serveur vulnérable.

4 Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

5 Documentation

Bulletin de sécurité Application Security Inc.(Team SHATTER) du 30 novembre 2006 :
```
http://www.appsecinc.com/resources/alerts/db2/2006-11-30.shtml
```
Bulletin de sécurité IBM IY86917 du 30 novembre 2006 :
```
http://www-1.ibm.com/support/docview.wss?uid=swg1IY86917
```
Bulletin de sécurité IBM IY91847 du 30 novembre 2006 :
```
http://www-1.ibm.com/support/docview.wss?uid=swg1IY91847
```

Gestion détaillée du document

18 décembre 2006: version initiale.

CERTA
2012-01-04