Múltiples vulnerabilidades en Db2 de IBM

Fecha de publicación 09/07/2018

Importancia

4 - Alta

Recursos Afectados

Versiones de IBM Db2:

V9.7.
V10.1.
V10.5.
V11.1.

Descripción

IBM ha detectado 3 vulnerabilidades de criticidad alta en Db2 que podría permitir a un atacante local elevación de privilegios y ejecución arbitraria de código

Solución

IBM ha puesto a disposición de los usuarios actualizaciones que solucionan las vulnerabilidades en función de la versión y plataforma de Db2 afectada.

Las actualizaciones correspondientes de Db2 son:

V9.7 FP11 para versiones V9.7.
V10.1 FP6 para versiones V10.1.
V10.5 FP9 para V10.5.
V11.1.3 iFix001 para V11.1.3.

Los enlaces de descargas están disponibles en la sección Referencias.

Detalle

La carga de librerías en Db2 a través de rutas potencialmente no confiables podrían permitir a un usuario, con bajos privilegios en el sistema, acceso completo a la cuenta de instancia Db2. Se ha reservado el identificador CVE-2018-1487 para esta vulnerabilidad.
Múltiples vulnerabilidades en Db2 Administration Server de Windows podrían permitir a un usuario local ejecutar código arbitrario. Se ha reservado el identificador CVE-2018-1458 para esta vulnerabilidad.
La herramienta db2support está afectada por una vulnerabilidad de formato de cadena, la cual podría permitir a un usuario local ejecutar código arbitrario. Se ha reservado el identificador CVE-2018-1566 para esta vulnerabilidad.

Listado de referencias

Security Bulletin: Privilege escalation in IBM® Db2® via loading libraries from untrusted path (CVE-2018-1487).

Search support or find a product: Search support or find a product Search Security Bulletin: Multiple untrusted search path vulnerabilities in the IBM® Db2® DAS component on Windows (CVE-2018-1458).

Security Bulletin: Format string vulnerability in IBM® Db2® tool db2support (CVE-2018-1566).

Etiquetas