阿里云漏洞库

IBM DB2和DB2 Connect Server信息泄露漏洞

CVE编号

CVE-2017-1571

利用情况

暂无

补丁情况

N/A

披露时间

2018-03-23

漏洞描述

IBM DB2和DB2 Connect Server都是美国IBM公司的数据库产品。DB2是一套适用于大型应用环境中的关系型数据库管理系统。DB2 Connect Server是一套将桌面和移动（palm-top）应用程序连接到大型机和小型机的主机数据库系统。

IBM DB2和DB2 Connect Server存在安全漏洞，该漏洞源于程序使用了较弱的加密算法。攻击者可利用该漏洞解密敏感信息。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
http://www-01.ibm.com/support/docview.wss?uid=swg22012948

参考链接
http://www.ibm.com/support/docview.wss?uid=swg22012948
http://www.securityfocus.com/bid/103494
https://exchange.xforce.ibmcloud.com/vulnerabilities/131853

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	ibm	db2	10.1	-
	运行在以下环境
	应用	ibm	db2	10.5	-
	运行在以下环境
	应用	ibm	db2	11.1	-
	运行在以下环境
	应用	ibm	db2	9.7	-
	运行在以下环境
	系统	amazon_AMI	httpd24	*		Up to (excluding) 2.4.33-2.78.amzn1
	运行在以下环境
	系统	fedora_26	httpd-filesystem	*		Up to (excluding) 2.4.33-4.fc26
	运行在以下环境
	系统	fedora_27	httpd-tools-debuginfo	*		Up to (excluding) 2.4.33-2.fc27
	运行在以下环境
	系统	fedora_28	hadoop-hdfs-fuse-debuginfo	*		Up to (excluding) 2.7.6-2.fc28
	运行在以下环境
	系统	kylinos_aarch64_V10	httpd	*		Up to (excluding) 2.4.6-97.el7_9.4.ns7.02
	运行在以下环境
	系统	kylinos_x86_64_V10	httpd	*		Up to (excluding) 2.4.6-97.el7_9.4.ns7.02
	运行在以下环境
	系统	opensuse_Leap_42.3	apache2-event	*		Up to (excluding) 2.4.23-22.1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 2.4.6-95.0.1.el7
	运行在以下环境
	系统	redhat_7	httpd	*		Up to (excluding) 0:2.4.6-93.el7
	运行在以下环境
	系统	suse_12	apache2	*		Up to (excluding) 2.4.16-20.16
	运行在以下环境
	系统	suse_12_SP3	apache2-example-pages	*		Up to (excluding) 2.4.23-29.18.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	apache2	*		Up to (excluding) 2.4.7-1ubuntu4.20
	运行在以下环境
	系统	ubuntu_16.04.7_lts	apache2	*		Up to (excluding) 2.4.18-2ubuntu3.8
	运行在以下环境
	系统	ubuntu_18.04.5_lts	apache2	*		Up to (excluding) 2.4.29-1ubuntu4.1
	运行在以下环境
	系统	ubuntu_18.10	apache2	*		Up to (excluding) 2.4.29-1ubuntu4.1

攻击路径

本地
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

无
保密性

高
完整性

无

CWE-ID	漏洞类型
CWE-327	使用已被攻破或存在风险的密码学算法