Mehrere Schwachstellen in IBMs DB2
IBM stellt Patches zum SchlieĂźen der LĂĽcken bereit.
Der Sicherheitsdienstleister iDefense hat mehrere LĂĽcken in der Datenbank DB2 des Herstellers IBM gemeldet. Ăśber zwei Buffer Overflows kann ein am System angemeldeter Anwender einen Absturz der Datenbank verursachen oder eigenen Code im Kontext der Datenbank, also mit Root-Rechten ausfĂĽhren.
Außerdem sind die Rechte auf eine SetUID-Binaries zur Administration der Datenbank falsch gesetzt, sodass Anwender unter anderem über die Manipulation von Umgebungsvariablen Dateien anlegen oder manipulieren können. Die Fehler wurden in DB2 Universal Database 9.1 für Linux gefunden, in den Versionen für Unix und Windows ist der Fehler aber ebenfalls enthalten. IBM hat Patches zum Download bereit gestellt.
Siehe dazu auch:
- IBM DB2 Universal Database DB2INSTANCE File Creation Vulnerability, Fehlerbericht von iDefense
- IBM DB2 Universal Database Multiple Privilege Escalation Vulnerabilities, Fehlerbericht von iDefense
- SECURITY APAR IY94833, Fehlerbericht von IBM
- SECURITY APAR IY94817, Fehlerbericht von IBM
(dab)
