セキュリティ・ベンダー英NGSSoftwareは現地時間1月5日,同社が以前発見したDB2 Universal Database 7/8 のセキュリティ・ホールの詳細を公表した。セキュリティ・ホールの存在自体は2004年10月5日に公表していたが,悪用を防ぐために詳細については公開していなかった。それが今回,明らかにされた。米IBMからは修正パッチ(FixPak)が公開されている。DB2の管理者は対策が施されていることを改めて確認したい。
NGSSoftwareでは,ベンダーから修正パッチが公開されても,セキュリティ・ホールの詳細についてはすぐに公表しない方針を採っている。管理者に,パッチの検証や適用のための時間を与えるためだとして,3カ月の“猶予期間”を設けている。先日詳細を公表したOracle製品についても同様だった(関連記事)。
NGSSoftwareが発見したDB2のセキュリティ・ホールは全部で9種類。リモートから任意のプログラムを実行させられるような,とても危険なセキュリティ・ホールを含んでいる。このため,IBMでも注意を呼びかけるとともに,修正パッチを公開している。
今回セキュリティ・ホールの詳細が明らかにされたことで,それらを突く攻撃が出現する可能性が高まった。既にパッチを適用している企業/組織は多いだろうが,改めて確認していただきたい。
◎参考資料
◆DB2 Universal Database for Linux, UNIX and Windows - Support Version 8 Download(米IBM)
◆DB2 Universal Database for Linux, UNIX and Windows - Support Version 7 Download(米IBM)
◆IBM responds to DB2 UDB security vulnerability reports(米IBM)
◆Researchers at NGSSoftware have discovered multiple critical/high risk
vulnerabilities in IBM's DB2 Universal Database(英NGSSoftware)
◆IBM DB2 db2fmp buffer overflow(英NGSSoftware)
◆IBM DB2 libdb2.so.1 buffer overflow(英NGSSoftware)
◆IBM DB2 call buffer overflow(英NGSSoftware)
◆IBM DB2 JDBC Applet Server buffer overflow(英NGSSoftware)
◆IBM DB2 SATADMIN.SATENCRYPT buffer overflow(英NGSSoftware)
◆IBM DB2 Windows Permission Problems(英NGSSoftware)
◆IBM DB2 to_char and to_date Denial Of Service(英NGSSoftware)
◆IBM DB2 XML functions overflows(英NGSSoftware)
◆IBM DB2 XML functions file creation vulnerabilities(英NGSSoftware)
◆DB2 Universal Database Multiple Vulnerabilities(デンマークSecunia)
(勝村 幸博=IT Pro)