IBM DB2是IBM公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。
4月22日,IBM发布了安全更新,修复了IBM数据库管理系统中发现的拒绝服务等漏洞。以下是漏洞详情:
漏洞详情
来源: https://www.ibm.com/blogs/psirt/security-bulletin-a-vulnerability-in-ibm-runtime-environments-java-technology-edition-versions-affects-ibm-db2-january-2021-cpu/
CVE-2020-27221 CVSS评分:9.8 严重程度:重要
当虚拟机或JNI本机从UTF-8字符转换为平台编码时,Eclipse OpenJ9容易受到基于堆栈的缓冲区溢出的影响。通过发送一个过长的字符串,远程攻击者可能会溢出缓冲区并在系统上执行任意代码,或者导致应用程序崩溃。
受影响的产品和版本
DB2 9.7.x
DB2 10.1.x
DB2 10.5.x
DB2 11.1.x
DB2 11.5.x
备注:Linux和AIX上的所有产品版本均受到影响。Windows不受影响。
解决方案
IBM官方已发布更新补丁。IBM JDK的最新版本中提供了此漏洞的修复程序。运行受影响程序的任何易受攻击的修订包级别的客户都可以从Fix Central下载最新版本的IBM JDK 。
受影响的IBM®SDK Java™Technology Edition,版本:
7.0.10.75及更早版本
7.1.4.75及更早版本
8.0.6.20及更早版本
早期版本(6、5.0、1.4.2、1.3.1、1.2.2等)也可能会受到影响,但不再受支持。
适用的漏洞的修复程序包含在IBM®SDK Java™Technology Edition,版本中:
7.0.10.80
7.1.4.80
8.0.6.25
惠普现在每年两次发布其JDK修复程序,因此没有适用于HP-UX的修复程序。该公告将在可用时进行更新。
请参考如下以确定包含该修复程序的IBM JDK级别。然后按照以下说明执行JDK安装。
Db2版本 修复的IBM版本
v9.7.x 7.0.10.80或更高版本
V10.1.x 7.0.10.80或更高版本
V10.5.x 7.0.10.80或更高版本
V11.1.x 8.0.6.25或更高版本
V11.5.x 8.0.6.25或更高版本
查看更多漏洞信息 以及升级请访问官网:
https://www.ibm.com/blogs/psirt/