Escalada de privilegis en IBM DB2
S’han publicat dos vulnerabilitats que afecten IBM DB2 en les seues versions de Windows i Linux que possibilitarien a un usuari autenticat obtindre privilegis.
Risc: Alt
CVE ID: CVE-2013-6744
Són necessaris:
-
Credencials vàlides per a connectar a la base de dades.
-
Privilegis CONNECT en la base de dades.
-
Autoritat CREATE_EXTERNAL_ROUTINE per a crear una rutina externa. PUBLIC no té este privilegi per defecte.
CVE ID: CVE-2014-0907
Esta vulnerabilitat només pot ser explotada a través d’un compte local.
Sistemes Afectats: Versions DB2 y DB2 Connect V9.1, V9.5, V9.7, V10.1 y V10.5
- IBM DB2 Express Edition
- IBM DB2 Workgroup Server Edition
- IBM DB2 Enterprise Server Edition
- IBM DB2 Connect™ Application Server Edition
- IBM DB2 Connect Application Server Advanced Edition
- IBM DB2 Connect Enterprise Edition
- IBM DB2 Connect Unlimited Edition for System i®
- IBM DB2 Connect Unlimited Edition for System z®
- IBM DB2 Connect Unlimited Advanced Edition for System z
- IBM DB2 10.1 pureScale Feature
- IBM DB2 10.5 Advanced Enterprise Server Edition
- IBM DB2 10.5 Advanced Workgroup Server Edition
- IBM DB2 10.5 Developer Edition for Linux, Unix and Windows
La vulnerabilitat CVE-2014-0907 a més també afecta les edicions IBM V9.8 DB2 pureScale Feature corresponents a sistemes AIX i Linux.
Referències: CVE-2014-0907, CVE-2013-6744
Solució:Descarregar els pegats de Fix Central:
Per a les versions V9.8, afectades per la vulnerabilitat CVE-2014-0907, contacteu amb el fabricant. La versió V9.1 ja no està suportada per IBM, per la qual cosa es recomana l’actualització a alguna de les versions posteriors i l’aplicació del pegat corresponent.
Notes: