Mehrere Sicherheitslücken gefährden IBMs Datenbanksystem Db2
Es sind wichtige Sicherheitsupdates z. Hd. IBM Db2 erschienen.
Security Von
- Dennis Schirrmacher
Das Datenbanksystem Db2 von IBM ist verwundbar. Angreifer könnten Systeme attackieren und unter anderem unberechtigt auf Daten zugreifen oder Dateien überschreiben. Dagegen abgesicherte Versionen schaffen Abhilfe.
Admins sollten die unterhalb dieser Meldung verlinkten Warnmeldungen studieren und die für sie relevanten Sicherheitsupdates raussuchen und installieren. Unter anderem sind die Versionen IBM Db2 V9.7, V10.1, V10.5, V11.1 und V11.5 auf den Systemen AIX, HP-UX, Linux, Solaris und Windows betroffen.
Gefährliche Auswirkungen
Am gefährlichsten gilt die mit dem Bedrohungsgrad „hoch“ eingestufte Lücke mit der Kennung CVE-2021-29703. Hier könnte ein Angreifer Datenbankserver durch die Ausführung von präparierten SELECT-Statements lahmlegen.
Setzen Angreifer erfolgreich an den weiteren Schwachstellen an, könnte ein authentifizierter Angreifer Dateien überschreiben (CVE-2021-4945 „mittel“). Außerdem ist ein unberechtigter Zugriff auf die Db2-Konfiguration vorstellbar (CVE-2021-4885 „mittel“). Das erfolgreiche Ausnutzen einer weiteren Lücke (CVE-2021-20579 „mittel“) könnte zur Offenlegung von Informationen führen. Eine Schwachstelle (CVE-2021-29777 „mittel“) könnte den Weg zu einer DoS-Attacke ebnen.
- IBM Db2 is vulnerable to a denial of service as the server terminates abnormally when executing a specially crafted SELECT statement. (CVE-2021-29703)
- IBM Db2 could allow an authenticated user to overwrite arbirary files due to improper group permissions. (CVE-2020-4945)
- IBM Db2 could allow a local user to access and change the configuration of DB2 due to a race condition via a symbolic link. (CVE-2020-4885)
- IBM Db2 is vulnerable to an information disclosure (CVE-2021-20579)
- Under special circumstances, Db2 is vulnerable to a denial of service during drop table (CVE-2021-29777)
(des)
Quelle: www.heise.de