Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/05/2014
Escalada de privilegis en IBM DB2
S’han publicat dos vulnerabilitats que afecten IBM DB2 en les seues versions de Windows i Linux que possibilitarien a un usuari autenticat obtindre privilegis.Risc: Alt
CVE ID: CVE-2013-6744
Són necessaris:-
Credencials vàlides per a connectar a la base de dades.
-
Privilegis CONNECT en la base de dades.
-
Autoritat CREATE_EXTERNAL_ROUTINE per a crear una rutina externa. PUBLIC no té este privilegi per defecte.
CVE ID: CVE-2014-0907
Esta vulnerabilitat només pot ser explotada a través d’un compte local.Versions DB2 y DB2 Connect V9.1, V9.5, V9.7, V10.1 y V10.5
- IBM DB2 Express Edition
- IBM DB2 Workgroup Server Edition
- IBM DB2 Enterprise Server Edition
- IBM DB2 Connect™ Application Server Edition
- IBM DB2 Connect Application Server Advanced Edition
- IBM DB2 Connect Enterprise Edition
- IBM DB2 Connect Unlimited Edition for System i®
- IBM DB2 Connect Unlimited Edition for System z®
- IBM DB2 Connect Unlimited Advanced Edition for System z
- IBM DB2 10.1 pureScale Feature
- IBM DB2 10.5 Advanced Enterprise Server Edition
- IBM DB2 10.5 Advanced Workgroup Server Edition
- IBM DB2 10.5 Developer Edition for Linux, Unix and Windows
La vulnerabilitat CVE-2014-0907 a més també afecta les edicions IBM V9.8 DB2 pureScale Feature corresponents a sistemes AIX i Linux.
Referències:CVE-2014-0907, CVE-2013-6744
Solució:Descarregar els pegats de Fix Central:
Notes: - V9.7 FP9a http://www.ibm.com/support/docview.wss?uid=swg24037559
- V10.1 FP3a http://www.ibm.com/support/docview.wss?uid=swg24037557
- V10.1 FP4 http://www.ibm.com/support/docview.wss?uid=swg24037466
- V10.5 FP3a http://www.ibm.com/support/docview.wss?uid=swg24037555
- Escalation of Privilege Vulnerability in IBM® DB2® Stored Procedure Infrastructure on Windows (CVE-2013-6744
- Local escalation of privilege vulnerability in IBM® DB2® (CVE-2014-0907
Font: Inteco-CERT