Root-Sicherheitslücke bedroht IBMs Datenbanksystem Db2
Sicherheitsupdates schließen mehrere Lücken in IBM Db2 und Business Automation Workflow.
(Bild: AFANASEV IVAN/Shutterstock.com)
Angreifer können Systeme mit IBM Db2 und Business Automation Workflow attackieren und im schlimmsten Fall Root-Rechte erlangen, um PCs zu kompromittieren. Sicherheitspatches stehen zum Download bereit.
Mehrere Softwareschwachstellen
Wie aus einer Warnmeldung hervorgeht, ist Business Automation über drei mit dem Bedrohungsgrad "mittel" eingestufte Sicherheitslücken (CVE-2025-54121, CVE-2025-50181, CVE-2025-50182) attackierbar. Sind Attacken erfolgreich, können Nutzer etwa keine neuen Verbindungen mehr zur Anwendung aufbauen. Dagegen ist die Version 24.0.0-IF007 gerüstet.
Da die Auflistung aller jüngst geschlossenen Sicherheitslücken in Db2 und Sicherheitspatches den Rahmen dieser Meldung sprengt, finden Admins weiterführende Informationen in den unterhalb dieses Beitrags verlinkten Warnmeldungen. An dieser Stelle gehen wir nur auf die am gefährlichsten eingestuften Schwachstellen ein.
So können entfernte Angreifer etwa auf eigentlich geschützte Informationen zugreifen. Für diese Lücke wurde offensichtlich noch keine CVE-Nummer vergeben. Ansatzpunkt ist die mangelnde Überprüfung von Eingaben im Kontext von Apache Commons Codec.
Bei bestimmten, nicht näher beschriebenen Konfigurationen, können lokale Angreifer Schadcode ausführen und sich anschließend zum Root-Nutzer hochstufen (CVE-2025-36186 "hoch"). In so einer Position erlangen Angreifer in der Regel die volle Kontrolle über Systeme.
Weiterhin sind noch unter anderem DoS-Attacken und unberechtigte Zugriffe auf Instanzen möglich.
Videos by heise
Anfang November haben IBMs Entwickler InfoSphere gegen DoS-Attacken gerüstet.
Liste nach Bedrohungsgrad absteigend sortiert:
- IBM Db2 federated Server is vulnerable to sensitive information disclosure under specific conditions
- IBM Db2 is vulnerable to privilege escalation under specific configurations (CVE-2025-36186)
- IBM Db2 is vulnerable to a denial of service due to improper allocation of resources (CVE-2025-36008)
- IBM Db2 is vulnerable to a denial of service due to the improper release of resources after use (CVE-2025-36006)
- IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2024-47118)
- IBM Db2 is vulnerable to users regaining access without admin help after account lockout (CVE-2025-33012)
- IBM Db2 is vulnerable to a denial of service due to improper neutralization of special elements in data query logic (CVE-2025-36185)
- IBM Db2 is vulnerable to running out of memory under certain conditions (CVE-2025-33134)
- IBM Db2 is vulnerable to a denial of service as the server may crash under certain conditions with a specially crafted query (CVE-2025-2534)
- IBM Db2 is vulnerable to a denial of service due to the database monitor script incorrectly detecting that the instance is still starting under specific conditions (CVE-2025-36136)
- IBM Db2 is vulnerable to information disclosure and credential exposure to privileged users under specific conditions (CVE-2025-36131)
(des)
