Schadcode-Attacken auf IBM Db2 und Tivoli Monitoring möglich

IBMs Datenbankmanagementsystem Db2 und die IT-Verwaltungssoftware Tivoli Monitoring sind verwundbar. Im schlimmsten Fall kann Schadcode auf Systeme gelangen.

Gefährliche Lücken

Wie aus einer Warnmeldung hervorgeht, gilt eine Lücke (CVE-2025-30065) als "kritisch". Sie ist mit dem maximalen CVSS Score 10 von 10 versehen. Das Sicherheitsproblem findet sich im parquet-avro-Modul von Apache Parquet, das Bestandteil von Db2 ist. Weil das Modul nicht vertrauenswürdige Daten verarbeitet, können Angreifer mit präparierten Parquet-Dateien an der Lücken ansetzen und am Ende Schadcode ausführen.

Die verbleibenden Db2-Lücken sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen können Angreifer DoS-Zustände erzeugen oder eigene Befehle ausführen. Die Schwachstellen haben die Entwickler in mehreren Special Builds geschlossen, die in den unterhalb dieses Beitrags aufgelisteten Warnmeldung verlinkt sind.

Die Sicherheitslücke (CVE-2025-3357) in Tivoli Monitoring gilt als "kritisch". Auch hier kann es zur Ausführung von Schadcode kommen. Dagegen ist die Ausgabe IBM Tivoli Monitoring Service Pack 6.3.0.7-TIV-ITM-SP0020 gerüstet.

• IBM Db2 is affected by a vulnerability in Apache Parquet (CVE-2025-30065).
• IBM Db2 is vulnerable to denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2024-49350)
• IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions (CVE-2025-2518)
•  IBM Db2 is vulnerable to a denial of service under certain conditions (CVE-2025-3050)
• IBM Tivoli Monitoring is affected by an insufficient validation of input data

(des)