IBM warnt vor Sicherheitslücke in Db2
IBM warnt vor einer Sicherheitslücke in Db2. Angreifer können dadurch ihre Rechte in Windows-Systemen ausweiten. Updates stehen bereit.
(Bild: Shutterstock/chanpipat)
In IBMs Db2 klafft eine Sicherheitslücke, die Angreifern das Ausweiten ihrer Rechte am System ermöglicht. Der Hersteller warnt, dass Windows-Systeme betroffen seien. Software-Aktualisierungen stehen bereit, mit denen IT-Verantwortliche die Schwachstelle ausbessern können.
Mit der MSI-Reparaturfunktion können Angreifer ihre Rechte auf SYSTEM in Windows ausweiten, erläutert IBM in einer Sicherheitsmitteilung (CVE-2023-47145, CVSS 8.4, Risiko "hoch"). Weitere Details nennt das Unternehmen jedoch nicht.
Aktualisierte Softwareversionen installieren
Der Fehler betrifft IBM Db2 10.5.0.x, 11.1.4.x sowie 11.5.x für Windows. Die Versionen für Linux und Unix sind nicht betroffen, erklärt IBM. Ältere Fassungen könnten ebenfalls verwundbar sein, sie erhalten jedoch keine Unterstützung mehr. Wer IBMs Db2 einsetzt, sollte daher besser auf eine noch unterstützte Version umsteigen.
IBM stellt für die Db2-Versionen, die noch Unterstützung erhalten, spezielle Builds bereit, die einen Interims-Fix enthalten. Die sind in der Fix Central erhältlich. Sie basieren auf dem jüngsten Fixpack-Level für jedes betroffene Release: 10.5 FP11, 11.1.4 FP7 und 11.5.9 sowie 11.5.8. Sie lassen sich auf jedes vorherige Fixpack-Level der jeweiligen Reihe anwenden. In der Sicherheitsmitteilung verlinkt IBM die Builds für 32- und 64-bittiges Windows.
Temporäre Gegenmaßnahmen nennt IBM nicht. Administratorinnen und Administratoren sollten daher die aktualisierten Software-Pakete zügig installieren, um das Risiko des Missbrauchs der Sicherheitslücke zu minimieren. Im Oktober vergangenen Jahres hatte IBM bereits zahlreiche Schwachstellen in Db2 ausgebessert. Darunter waren auch als kritisch eingestufte Lücken, die Angreifern das Einschleusen von Schadcode ermöglichten.
(dmk)
