Sicherheitspatches: Angreifer könnten Datenbanken in IBM Db2 manipulieren
IBM hat Sicherheitslücken in mehreren Anwendungen wie Cloud Private, Db2 und Elastic Search geschlossen. Außerdem gibt es Neuigkeiten zu Log4j-Anfälligkeiten.
(Bild: Photon photo/Shutterstock.com)
Admins von IBM-Anwendungen sollten Cloud Private, Db2, Elastic Search, Event Streams und Netty auf den aktuellen Stand bringen. Geschieht dies nicht, könnten Angreifer Systeme attackieren und etwa Daten manipulieren oder auf eigentlich abgeschottete Informationen zugreifen.
Jetzt patchen!
Die meisten Lücken haben die Entwickler im Datenbanksystem DB2 geschlossen. Eine Schwachstelle (CVE-2021-29678) ist mit dem Bedrohungsgrad "hoch" eingestuft. Verfügt ein Angreifer über eine DBADM-Berechtigung, könnte er auf Datenbanken zugreifen und diese modifizieren.
Die weitere Lücken sind mit "mittel" eingestuft. Nach erfolgreichen Attacken könnten Angreifer beispielsweise auf eigentlich verschlüsselte Daten zugreifen. Klappt eine Attacke auf Event Streams könnten Angreifer Schadcode ausführen. Schwachstellen in Cloud Private könnten Daten leaken.
Log4j-Lücke
Außerdem hat IBM mehrere Beiträge zur Log4j-Schwachstelle und dadurch betroffene Anwendungen veröffentlicht. Darunter fallen unter anderem Engineering Lifecycle Optimization und Power HMC.
Weiterführende Informationen zu den verwundbaren und abgesicherten Versionen können Admins in den folgenden Warnmeldungen einsehen. Liste nach Bedrohungsgrad absteigend sortiert:
- IBM Db2 is vulnerable to an Information Disclosure as a user with DBADM authority is able to access other databases and read or modify files (CVE-2021-29678)
- Vulnerability in Netty affects IBM Cloud Private (CVE-2021-21409)
- Vulnerability in Node.js affects IBM Event Streams
- Vulnerability in Node.js affects IBM Event Streams (CVE-2021-22959)
- Vulnerability in Netty affects IBM Cloud Private (CVE-2021-21295)
- IBM Db2 is vulnerable to an information disclosure as a result of a connected user having indirect read access to a table where they are not authorized to select from. (CVE-2021-38931)
- IBM Db2 is vulnerable to an information disclosure as it uses weaker than expected cryptographic algorithms that could allow an attacker to decrypt highly sensitive information. (CVE-2021-39002)
- IBM Db2 may be vulnerable to an Information Disclosure when using the LOAD utility as under certain circumstances the LOAD utility does not enforce directory restrictions. (CVE-2021-20373)
- Vulnerability in Elasticsearch affects IBM Cloud Private (CVE-2021-22144)
- IBM Db2 could allow a local user elevated privileges due to allowing modification of columns of existing tasks (CVE-2021-38926)
- Vulnerability in Elasticsearch affects IBM Cloud Private (CVE-2021-22135, CVE-2021-22137)
- Vulnerability in Netty affects IBM Cloud Private (CVE-2021-21290)
- Vulnerability in Elasticsearch affects IBM Cloud Private (CVE-2021-22138)
- Vulnerability in Elasticsearch affects IBM Cloud Private (CVE-2021-22138)
(des)
