Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/08/2013
Se ha informado de una vulnerabilidad en IBM DB2 y DB2 Connect que podrían ser aprovechadas por usuarios maliciosos para eludir determinadas restricciones de seguridad.
La vulnerabilidad está provocada debido a un error sin especificar y puede ser aprovechada para obterner temporalmente privilegios de SELECT, INSERT, UPDATE o DELETE en una tabla.
Para que sea posible la explotación se requieren autorizaciones de EXPLAIN, SQLADM o DBADM.
Nota: DB2 Connect sólo están afectados si se ha creado una base de datos local.
La vulnerabilidad está reportada en versiones 9.7, 10.1 y 10.5 corriendo sobre AIX, Linux, HP, Solaris y Windows; y versiones 9.8 corriendo en AIX y Linux. Por favor, consulta el aviso del fabricante para obtener más detalles de las ediciones afectadas.
Sistemas Afectados:IBM DB2 10.x
IBM DB2 9.x
IBM DB2 Connect 10.x
IBM DB2 Connect 9.x
CVE-2013-4033
Solución:Aplicar parche interno o Fix Patch cuando esté disponible.
Notas:IBM (IC94523, IC94756, IC94757, IC94758):
http://www.ibm.com/support/docview.wss?uid=swg21646809
http://www.ibm.com/support/docview.wss?uid=swg27007053