Root-Sicherheitslücke gefährdet IBM-Datenbank Db2
Db2 von IBM ist verwundbar und Angreifer könnten schlimmstenfalls Schadcode ausführen. Vorläufige Fixes sind verfügbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Das Datenbanksystem Db2 von IBM ist über vier Sicherheitslücken angreifbar. Auch wenn davon keine als kritisch eingestuft ist, könnten Angreifer unter Umständen Schadcode mit Root-Rechten ausführen. Admins sollten die vorläufigen Fixes zeitnah installieren.
Um die Schwachstellen (CVE-2020-4135, CVE-2020-4200, CVE-2020-4204, CVE-2020-4230) zu schließen, müssen Admins Special Builds mit vorläufigen Fixes herunterladen und installieren. Sicherheitspatches sind in der Mache. Mehr Informationen dazu findet man in denen am Ende dieser Meldung verlinkten Warnmeldungen.
Betroffen sind alle Fix-Pack-Level von IBM Db2 und Db2 Connect Server V10.5, V11.1 und 11.5 für alle Plattformen (Linux, Unix, Windows). Die reparierten Ausgaben von DB2 V9.7 und V10.1 für Windows 32 Bit und 64 Bit sollen im März folgen.
Auswirkungen der Schwachstellen
Am gefährlichsten gilt die Lücke mit der Kennung CVE-2020-4204. Setzt ein lokaler Angreifer erfolgreich an der Schwachstelle an, ist ein Speicherfehler (buffer overflow) die Folge und die Ausführung von Schadcode mit Root-Rechten rückt in greifbare Nähe. Das Angriffsrisiko gilt als "hoch".
Das erfolgreiche Ausnutzen einer weiteren Sicherheitslücke kann dazu führen, dass Angreifer am Ende mit erhöhten Nutzerrechten dastehen. Diese Lücke ist mit dem Bedrohungsgrad "mittel" eingestuft. Auch DoS-Attacken sind IBM zufolge vorstellbar.
- Multiple buffer overflow vulnerabilities exist in IBM Db2 leading to privilege escalation (CVE-2020-4204)
- IBM Db2 is vulnerable to denial of service (CVE-2020-4135)
- IBM Db2 is vulnerable to privilege escalation (CVE-2020-4230)
- IBM Db2 is vulnerable to denial of service (CVE-2020-4200)
(des)
