IBM DB2通过特制查询存在CVE-2023-30443等多个拒绝服务漏洞

IBM DB2是美国国际商业机器（IBM）公司的关系型数据库管理系统，拥有数十年的专业知识，专为处理大量数据和复杂业务需求而设计。

IBM DB2常用于构建需要高可靠性、高性能和高级数据管理功能企业级应用，如银行、保险、零售、电信等多个行业的大规模应用系统。

一、基本情况

IBM DB2是IBM开发的强大的关系型数据库管理系统（RDBMS），确保应用程序的安全性以及高性能和弹性，无论事务量或复杂性如何。

IBM DB2主要应用于大型应用系统，具有较好的可伸缩性，可支持从大型机到单用户环境，可应用于所有常见的服务器操作系统平台中。

DB2提供高层次数据利用性、完整性、安全性、可恢复性及小规模到大规模应用程序执行能力，具有与平台无关的基本功能和SQL命令。

DB2具有很好的网络支持能力，每个子系统可连接十几万个分布式用户，可同时激活上千个活动线程，对大型分布式应用系统尤为适用。

栋科技漏洞库关注到IBM DB2中多个安全漏洞，漏洞分别从CVE-2023-30443追踪至CVE-2023-30449，具体为七个漏洞，漏洞具体如下：

CVE-2023-30449、CVE-2023-30448、CVE-2023-30447、CVE-2023-30446、CVE-2023-30445、CVE-2023-30444、CVE-2023-30443

二、漏洞分析

CVE-2023-30449

CVE-2023-30449漏洞位于IBM Db2 for Linux, UNIX and Windows（包括 Db2 Connect Server）10.5、11.1和11.5版本，CVSS评分6.3。

受此漏洞影响的是未知功能的组件Query Handler，手动调试的不合法输入可导致拒绝服务，该漏洞远程可以启动攻击， 无技术细节可用。 

CVE-2023-30448

CVE-2023-30448漏洞位于IBM Db2 for Linux, UNIX and Windows（包括 Db2 Connect Server）10.5、11.1和11.5版本，CVSS评分5.7。

受此漏洞影响的是未知功能的组件Query Handler，手动调试的不合法输入可导致拒绝服务，漏洞知名度低于平均水平，可利用性较困难。

CVE-2023-30447

CVE-2023-30447漏洞位于IBM Db2 for Linux, UNIX and Windows（包括 Db2 Connect Server）10.5、11.1和11.5版本，CVSS评分5.7。

受此漏洞影响的是未知功能的组件Query Handler，手动调试的不合法输入可导致拒绝服务，漏洞知名度低于平均水平，可利用性较困难。

CVE-2023-30446

CVE-2023-30446漏洞位于IBM Db2 for Linux, UNIX and Windows（包括 Db2 Connect Server）10.5、11.1和11.5版本，CVSS评分5.7。

受此漏洞影响的是未知功能的组件Query Handler，手动调试的不合法输入可导致拒绝服务，漏洞知名度低于平均水平，可利用性较困难。

CVE-2023-30445

CVE-2023-30445漏洞位于IBM Db2 for Linux, UNIX and Windows（包括 Db2 Connect Server）10.5、11.1和11.5版本，CVSS评分6.3。

受此漏洞影响的是未知功能的组件Query Handler，手动调试的不合法输入可导致拒绝服务，漏洞知名度低于平均水平，可利用性较困难。

CVE-2023-30443

CVE-2023-30443漏洞位于IBM Db2 for Linux, UNIX and Windows（包括 Db2 Connect Server）10.5、11.1和11.5版本，CVSS评分5.2。

受此漏洞影响的是未知功能的组件Query Handler，手动调试的不合法输入可导致拒绝服务，漏洞知名度低于平均水平，可利用性较困难。

三、影响范围

IBM Database Software DB2 Connect Server 10.5 、11.1 、11.5

四、修复建议

IBM Database Software DB2 Connect Server V10.5 FP11、V11.1.4 FP7、V11.5.7 和 V11.5.8

五、参考链接

管理员已设置评论后刷新可查看