Mehrere Sicherheitslücken im Datenbankmanagementsystem IBM Db2
Es gibt wichtige Sicherheitsupdates für IBM Db2. Insgesamt gilt das Sicherheitsrisiko als "hoch".
Das relationale Datenbankmanagementsystem IBM Db2 ist über fünf Schwachstellen attackierbar. Im schlimmsten Fall könnte ein Angreifer Schadcode mit Root-Rechten auf Systemen ausführen.
Das Notfall-Team des Bundesamt für Sicherheit in der Informationstechnik (BSI) CERT-Bund stuft das Angriffsrisiko in einer Warnung als „hoch“ ein. Admins sollten sicherstellen, dass sie die abgesicherten Versionen installiert haben.
Voraussetzungen für Attacken
Damit ein Angreifer die Schadcode-Lücke (CVE-2019-4154) ausnutzen kann, muss er an einem verwundbaren Computer angemeldet sein. Dann könnte er einen Speicherfehler auslösen und so eigenen Code ausführen.
Hat ein Angreifer Zugriff auf einen Db2-Instance-Owner-Account, könnte eine weitere Schwachstelle (CVE-2019-4057) gefährlich werden: Sie ist ebenfalls ein Schlupfloch für Schadcode. Den Entwicklern zufolge ist Windows von diesen beiden Schwachstellen nicht betroffen und nur Linux- und Unix-Systeme sind davon bedroht.
Weitere Schwachstellen
Darüber hinaus könnten Angreifer Db2-Instanzen noch via DoS-Attacke lahmlegen und den Einsatz des als unsicher geltenden Verschlüsselungsalgortihmus 3DES erzwingen. Weitere Informationen zu den Lücken und auch den abgesicherten Versionen finden sich in den folgenden Sicherheitswarnungen.
Liste nach Bedrohungsgrad absteigend sortiert:
- IBM Db2 is vulnerable to buffer overflow leading to potential arbitrary code execution as root (CVE-2019-4154)
- IBM Db2 is vulnerable to privilege escalation to root via malicious use of fenced user (CVE-2019-4057)
- IBM Db2 is vulnerable to denial of service (CVE-2019-4386)
- Under specialized conditions, IBM Db2 is vulnerable to denial of service (CVE-2019-4101)
- IBM Db2 does not explicitly forbid a weaker than expected 3DES cipher when configured to use SSL (CVE-2019-4102)
(des)