製品・ソフトウェアに関する情報

JVN脆弱性詳細

複数の OS 上で稼働する IBM DB2 における任意のテキストファイルを読まれる脆弱性

タイトル	複数の OS 上で稼働する IBM DB2 における任意のテキストファイルを読まれる脆弱性
概要	Linux、UNIX、および Windows 上で稼働する IBM DB2 には、任意のテキストファイルを読まれる脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component (インジェクション) と識別されています。 http://cwe.mitre.org/data/definitions/74.html
想定される影響	リモート認証されたユーザにより、SELECT ステートメントの巧妙に細工された XML/XSLT 関数を介して、任意のテキストファイルを読まれる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2014年11月14日0:00
登録日	2015年7月23日11:39
最終更新日	2015年7月23日11:39

影響を受けるシステム

IBM

IBM DB2 10.1 FP5 未満の 10.1

IBM DB2 10.5 FP5 までの 10.5

IBM DB2 9.7 FP10 までの 9.7

IBM DB2 9.8 FP5 までの 9.8

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2014-8910	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8910
National Vulnerability Database (NVD)
2	CVE-2014-8910	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8910

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
IBM APAR
1	IT06354	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06354
IBM Support Document
2	1697988	http://www-01.ibm.com/support/docview.wss?uid=swg21697988

変更履歴

No	変更内容	変更日
0	[2015年07月23日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2014-8910

概要	IBM DB2 9.7 through FP10, 9.8 through FP5, 10.1 before FP5, and 10.5 through FP5 on Linux, UNIX, and Windows allows remote authenticated users to read arbitrary text files via a crafted XML/XSLT function in a SELECT statement.
公表日	2015年7月20日10:59
登録日	2021年1月26日15:21
最終更新日	2024年11月21日11:19

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:ibm:db2:10.1::::advanced_enterprise:::
cpe:2.3:a:ibm:db2:10.1::::enterprise:::
cpe:2.3:a:ibm:db2:10.5::::workgroup:::
cpe:2.3:a:ibm:db2:9.8::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:9.7::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:10.5::::express:::
cpe:2.3:a:ibm:db2:9.7::::enterprise:::
cpe:2.3:a:ibm:db2:9.7::::express:::
cpe:2.3:a:ibm:db2:10.1::::workgroup:::
cpe:2.3:a:ibm:db2:10.5::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:9.8::::workgroup:::
cpe:2.3:a:ibm:db2:9.7::::workgroup:::
cpe:2.3:a:ibm:db2:9.8::::express:::
cpe:2.3:a:ibm:db2:9.8::::enterprise:::
cpe:2.3:a:ibm:db2:10.5::::enterprise:::
cpe:2.3:a:ibm:db2:10.1::::express:::
cpe:2.3:a:ibm:db2:9.7::::advanced_enterprise:::
cpe:2.3:a:ibm:db2:10.5::::advanced_enterprise:::
cpe:2.3:a:ibm:db2:10.1::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:9.8::::advanced_enterprise:::

関連情報、対策とツール

No	URL	タグ
1	http://www.securityfocus.com/bid/75949
2	http://www.securityfocus.com/bid/75949
3	http://www.securitytracker.com/id/1032883
4	http://www.securitytracker.com/id/1032883
5	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06353
6	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06353
7	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06354	Vendor Advisory
8	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06354	Vendor Advisory
9	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06355
10	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06355
11	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06356
12	http://www-01.ibm.com/support/docview.wss?uid=swg1IT06356
13	http://www-01.ibm.com/support/docview.wss?uid=swg21697988	Patch Vendor Advisory
14	http://www-01.ibm.com/support/docview.wss?uid=swg21697988	Patch Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-74	インジェクション	https://cwe.mitre.org/data/definitions/74.html

構成1	以上	以下	より上	未満
cpe:2.3:a:ibm:db2:10.1::::advanced_enterprise:::
cpe:2.3:a:ibm:db2:10.1::::enterprise:::
cpe:2.3:a:ibm:db2:10.5::::workgroup:::
cpe:2.3:a:ibm:db2:9.8::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:9.7::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:10.5::::express:::
cpe:2.3:a:ibm:db2:9.7::::enterprise:::
cpe:2.3:a:ibm:db2:9.7::::express:::
cpe:2.3:a:ibm:db2:10.1::::workgroup:::
cpe:2.3:a:ibm:db2:10.5::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:9.8::::workgroup:::
cpe:2.3:a:ibm:db2:9.7::::workgroup:::
cpe:2.3:a:ibm:db2:9.8::::express:::
cpe:2.3:a:ibm:db2:9.8::::enterprise:::
cpe:2.3:a:ibm:db2:10.5::::enterprise:::
cpe:2.3:a:ibm:db2:10.1::::express:::
cpe:2.3:a:ibm:db2:9.7::::advanced_enterprise:::
cpe:2.3:a:ibm:db2:10.5::::advanced_enterprise:::
cpe:2.3:a:ibm:db2:10.1::::advanced_workgroup:::
cpe:2.3:a:ibm:db2:9.8::::advanced_enterprise:::