Sicherheitspatches: Root-Attacken auf IBM Db2 möglich
Mehrere Sicherheitslücken gefährden IBMs Datenbankmanagementsystem Db2. Primär können Instanzen abstürzen.
(Bild: Shutterstock/chanpipat)
Angreifer können Computer mit IBM Db2 attackieren, sich im schlimmsten Fall Root-Rechte verschaffen und Systeme im Anschluss kompromittieren. Sicherheitspatches lösen dieses Sicherheitsproblem und einige weitere. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.
Patches verfĂĽgbar
Das Datenbankmanagementsystem ist insgesamt über 17 Softwareschwachstellen angreifbar. Zwei Lücken (CVE-2025-36384, CVE-2025-36184) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall können sich Angreifer mit Dateisystemzugriff höhere Rechte verschaffen. Im zweiten Fall ist das sogar bis zum Root-Nutzer möglich. In so einer Position ist davon auszugehen, dass Angreifer die volle Kontrolle über Systeme erlangen.
In diesen Fällen schaffen die Sicherheitsupdates Special Build #66394 für IBM Db2 11.5.9, Special Build #71609 für 12.1.3 und Special Build für 12.1.2 Abhilfe. IBMs Entwickler weisen darauf hin, dass davon wahrscheinlich auch Versionen bedroht sind, die sich nicht mehr im Support befinden. Diese Ausgaben bekommen keine Sicherheitsupdates mehr, sie bleiben deshalb verwundbar. Hier müssen Admins auf eine noch unterstützte Version upgraden.
Weitere Gefahren
Videos by heise
Die verbleibenden Lücken sind mit „mittel“ eingestuft. An diesen Stellen können Angreifer etwa mit manipulierten Anfragen ansetzen, um DoS-Zustände auszulösen. Weitere Informationen zu den Lücken und Sicherheitsupdates finden sich unterhalb dieser Meldung in den verlinkten Warnmeldungen.
Erst kĂĽrzlich haben die Entwickler eine kritische LĂĽcke in IBM Db2 Big SQL geschlossen.
Liste nach Bedrohungsgrad absteigend sortiert:
- IBM Db2 is vulnerable to privilege escalation due to the use of an unquoted search path element (CVE-2025-36384)
- IBM Db2 is vulnerable to Local Privilege Escalation and get root access to the system (CVE-2025-36184)
- IBM Db2 is vulnerable to privilege escalation under specific configuration of cataloged remote storage aliases (CVE-2025-36365)
- IBM Db2 is vulnerable to a denial of service with a specially crafted query that uses ALTER TABLE operations (CVE-2025-2668)
- IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2025-36442)
- IBM Db2 Federated server is vulnerable to a denial of service as the server may crash when using a specially crafted statement (CVE-2025-36423)
- IBM Db2 Federated server is vulnerable to a denial of service with a specially crafted query (CVE-2025-36424)
- IBM Db2 is vulnerable to a denial of service when given a specially crafted query (CVE-2025-36387)
- IBM Db2 could allow an authenticated user to cause a denial of service using a specially crafted SQL statement that includes XML (CVE-2025-36001)
- IBM Db2 is vulnerable to a denial of service when using certain functions in a query (CVE-2025-36366)
- IBM Db2 is vulnerable to a denial of service as the server may terminate under certain conditions (CVE-2025-36009)
- IBM Db2 is vulnerable to a denial of service as a trap may occur when selecting from certain types of tables (CVE-2025-36070)
- IBM Db2 is vulnerable to a denial of service due to improper allocation of resources (CVE-2025-36098)
- IBM Db2 is vulnerable to a denial of service when copying large tables containing XML data (CVE-2025-36123)
- IBM Db2 is vulnerable to a denial of service with a specially crafted query (CVE-2025-36353)
- IBM Db2 is vulnerable to a denial of service due to improper neutralization of special elements in data query logic (CVE-2025-36428)
(des)
