Sicherheitsupdates: IBM Db2 über verschiedene Wege angreifbar

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Aufgrund von mehreren Softwareschwachstellen können Angreifer IBM Db2 attackieren und Instanzen im schlimmsten Fall vollständig kompromittieren. Um dem vorzubeugen, sollten Admins die abgesicherten Versionen installieren.

Schadcode-Schlupfloch

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2025-33092 "hoch"), durch die Schadcode schlüpfen kann. Die Basis für solche Attacken ist ein von Angreifern ausgelöster Speicherfehler. Wie ein solcher Angriff konkret ablaufen könnten, ist bislang unklar. Davon sind einer Warnmeldung zufolge die Client- und Server-Editionen von Db2 bedroht. Das betrifft die Db2-Versionen 11.5.0 bis einschließlich 11.5.9 und 12.1.0 bis einschließlich 12.1.2.

Um Systeme gegen die geschilderte Attacke zu rüsten, müssen Admins in der Warnmeldung verlinkte Special Builds installieren.

Eine weitere Schwachstelle (CVE-2025-24970) ist mit dem Bedrohungsgrad "hoch" eingestuft. Sie betrifft das Application Framework Netty. An dieser Stelle können Angreifer Abstürze provozieren. Auch hier soll ein Special Build Abhilfe schaffen.

Weitere Gefahren

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad "mittel" versehen. An diesen Stellen können Angreifer meist ohne Authentifizierung DoS-Zustände erzeugen, was Abstürze nach sich zieht. Die dagegen gerüsteten Versionen finden Admins in den verlinkten Warnmeldungen (nach Bedrohungsgrad absteigend sortiert):

• IBM Db2 is vulnerable to denial of service when running federated queries with the certain condition (CVE-2025-36071)
• IBM Db2 federated server is vulnerable to a denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2024-51473)
• IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2024-49828)
• IBM Db2 is vulnerable to a denial of service using a specially crafted SQL statement (CVE-2025-33143)
• IBM Db2 is vulnerable to a denial of service under specific conditions (CVE-2025-36010)
• IBM Db2 is vulnerable to a denial of service with a specially crafted query. (CVE-2025-33114)
• IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions (CVE-2025-2533)
• IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2024-52894)

(des)