CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/05/2014

Escalada de privilegios en IBM DB2

Se han publicado dos vulnerabilidades que afectan a IBM DB2 en sus versiones de Windows y Linux que posibilitarían a un usuario autenticado obtener privilegios.

Riesgo: Alto

CVE ID: CVE-2013-6744

Son necesarios:

  • Credenciales válidas para conectar a la base de datos.
  • Privilegios CONNECT en la base de datos.
  • Autoridad CREATE_EXTERNAL_ROUTINE para crear una rutina externa. PUBLIC no tiene este privilegio por defecto.

CVE ID: CVE-2014-0907

Esta vulnerabilidad solo puede ser explotada a través de una cuenta local.

Sistemas Afectados:

Versiones DB2 y DB2 Connect V9.1, V9.5, V9.7, V10.1 y V10.5

La vulnerabilidad CVE-2014-0907 además también afecta a las ediciones IBM V9.8 DB2 pureScale Feature correspondientes a sistemas AIX y Linux.

Referencias:

CVE-2014-0907, CVE-2013-6744

Solución:

Descargar los parches de Fix Central:

Para las versiones V9.8, afectadas por la vulnerabilidad CVE-2014-0907, contactar con el fabricante. La versión V9.1 ya no está soportada por IBM, por lo que se recomienda la actualización a alguna de las versiones posteriores y la aplicación del parche correspondiente.

Notas:
Fuente: Inteco-CERT

CSIRT-CV