Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

28/08/2013

Vulnerabilitat a IBM DB2 i DB2 Connect

S’ha informat d’una vulnerabilitat en IBM DB2 i DB2 Connect que podria ser aprofitada per usuaris maliciosos per a eludir determinades restriccions de seguretat.

S’ha informat d’una vulnerabilitat en IBM DB2 i DB2 Connect que podria ser aprofitada per usuaris maliciosos per a eludir determinades restriccions de seguretat.

La vulnerabilitat està provocada a causa d’un error sense especificar i pot ser aprofitada per a obtindre, temporalment, privilegis de SELECT, INSERT, UPDATE o DELETE en una taula.

Perquè siga possible l’explotació calen autoritzacions d’EXPLAIN, SQLADM o DBADM.

Nota: DB2 Connect només estan afectats si s’ha creat una base de dades local.

La vulnerabilitat està reportada en versions 9.7, 10.1 i 10.5 corrent sobre AIX, Linux, HP, Solaris i Windows, i versions 9.8 corrent en AIX i Linux. Per favor, consulta l’avís del fabricant per a obtindre més detalls de les edicions afectades.

Sistemes Afectats:

IBM DB2 10.x
IBM DB2 9.x
IBM DB2 Connect 10.x
IBM DB2 Connect 9.x 

Referències:

CVE-2013-4033

Solució:

Cal aplicar pegat intern o Fix Patch quan estiga disponible.

Notes:

IBM (IC94523, IC94756, IC94757, IC94758):
http://www.ibm.com/support/docview.wss?uid=swg21646809
http://www.ibm.com/support/docview.wss?uid=swg27007053

CSIRT-CV