CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/08/2013

Vulnerabilidad en IBM DB2 y DB2 Connect

Se ha informado de una vulnerabilidad en IBM DB2 y DB2 Connect que podrían ser aprovechadas por usuarios maliciosos para eludir determinadas restricciones de seguridad.

Riesgo: Bajo

Se ha informado de una vulnerabilidad en IBM DB2 y DB2 Connect que podrían ser aprovechadas por usuarios maliciosos para eludir determinadas restricciones de seguridad.

La vulnerabilidad está provocada debido a un error sin especificar y puede ser aprovechada para obterner temporalmente privilegios de SELECT, INSERT, UPDATE o DELETE en una tabla.

Para que sea posible la explotación se requieren autorizaciones de EXPLAIN, SQLADM o DBADM.

Nota: DB2 Connect sólo están afectados si se ha creado una base de datos local.

La vulnerabilidad está reportada en versiones 9.7, 10.1 y 10.5 corriendo sobre AIX, Linux, HP, Solaris y Windows; y versiones 9.8 corriendo en AIX y Linux. Por favor, consulta el aviso del fabricante para obtener más detalles de las ediciones afectadas.

Sistemas Afectados:

IBM DB2 10.x
IBM DB2 9.x
IBM DB2 Connect 10.x
IBM DB2 Connect 9.x 

Referencias:

CVE-2013-4033

Solución:

Aplicar parche interno o Fix Patch cuando esté disponible.

Notas:

IBM (IC94523, IC94756, IC94757, IC94758):
http://www.ibm.com/support/docview.wss?uid=swg21646809
http://www.ibm.com/support/docview.wss?uid=swg27007053

Fuente: Secunia Advisories

CSIRT-CV