Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Db2 de IBM

Fecha de publicación 16/03/2018
Importancia
4 - Alta
Recursos Afectados
  • IBM Db2 V9.7, V10.1, V10.5, y V11.1 en todas las plataformas.
Descripción

Se ha detectado una vulnerabilidad de criticidad alta que podría permitir la inyección de un objeto con la posibilidad de realizar ejecución arbitraria de código en los productos afectados.

IBM también ha publicado otras actualizaciones de múltiples vulnerabilidades ya conocidas en Db2 de IBM de criticidades medias y altas. En el apartado Referencias puede encontrar más información acerca de estas actualizaciones.

Solución

IBM ha puesto a disposición de los usuarios diversas actualizaciones para solucionar la vulnerabilidad dependiendo de la edición del producto.

  • V11.1: La actualización se encuentra disponible en V11.1.3 FP3, disponible a través del siguiente enlace: Db2 11.1 Mod 3 Fix Pack 3.
  • V10.5, V10.1,V9.7: En la sección Referencias puede un enlace donde encontrar la actualización según su plataforma.

Todas aquellas plataformas que carezcan de actualización tendrán disponible una el 31 de marzo de 2018.

Mientras tanto los usuarios pueden establecer para el archivo connlicj.bin como directorio de salida por defecto a una localización más segura modificando la propiedad db2.jcc.outputDirectory. De este modo el controlador escribirá el archivo de la cache en el directorio establecido el cual no podrá ser accesible sin autorización, previniendo la inyección del objeto.

Detalle

El controlador para JDBC y SQLJ deserializa el contenido del archivo /tmp/connlicj.bin, el cual podría permitir la inyección de un objeto que podría permitir la ejecución arbitraria de código. Se ha reservado el identificador CVE-2017-1677 para esta vulnerabilidad.

Encuesta valoración