Sicherheitsupdates: Schadcode- und Root-Lücken bedrohen IBM-Software
IBM hat unter anderem im Datenbankmanagementsystem Db2 schwerwiegende Schwachstellen geschlossen.
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer können Computer mit Software von IBM attackieren und im schlimmsten Fall Schadcode ausführen, um Systeme zu kompromittieren.
Am Ende dieser Meldung finden Admins die verlinkten Warnmeldungen mit weiterführenden Informationen zu abgesicherten Versionen.
Jetzt patchen!
Am gefährlichsten gilt eine "kritische" Lücke (CVE-2023-39976) in Db2. Davon sind ausschließlich Linux-Systeme bedroht. Aufgrund von unzureichenden Überprüfungen können entfernte Angreifer mit speziellen Anfragen Speicherfehler auslösen und so Schadcode auf Systeme schieben und ausführen. Danach erlangen Angreifer in der Regel die volle Kontrolle über PCs.
Eine weitere gefährliche Schwachstelle (CVE-2023-38280 "hoch") betrifft Power Hardware Management Console (HMC). Hier könnten sich lokale Angreifer auf einem nicht näher beschriebenen Weg zum Root-Nutzer hochstufen.
Weitere Schwachstellen
Außerdem können Angreifer das Datenbankmanagementsystem Db2 via DoS-Attacke (CVE-2023-30991 "hoch") lahmlegen. Dafür soll eine präparierte Anfrage ausreichen. Davon sind alle Plattformen betroffen.
Darüber hinaus ist aufgrund eines Fehlers (CVE-2023-33850 "hoch") bei der Implementierung der RSA-Verschlüsselung über eine timing-basierte Seitenkanal-Attacke der Zugriff auf sensible Informationen möglich.
Die verbleibenden Schwachstellen in Db2 sind mit dem Bedrohungsgrad "mittel" eingestuft. Hier können Angreifer unter anderem für weitere DoS-Attacken ansetzen und das Datenbankmanagementsystem unerreichbar machen.
Liste nach Bedrohungsgrad absteigend sortiert:
- A vulnerability in libqb affects IBM Db2 High-Availability deployments using Pacemaker (CVE-2023-39976)
- Vulnerability in sed ( CVE-2023-38280) affects Power HMC
- IBM Db2 is vulnerable to denial of service with a specially crafted query (CVE-2023-30991)
- IBM Db2 is vulnerable to an information disclosure vulnerability due to the consumed GSKit library (CVE-2023-33850)
- IBM Db2 is vulnerable to denial of service via a specially crafted query on certain databases. (CVE-2023-30987)
- IBM Db2 is vulnerable to denial of service with a specially crafted query containing common table expressions (CVE-2023-40373)
- IBM Db2 is vulnerable to denial of service with a specially crafted SQL statement using External Tables. (CVE-2023-40372)
- IBM Db2 is vulnerable to denial of service with a specially crafted ALTER TABLE statement (CVE-2023-38720)
- IBM Db2 is vulnerable to denial of service with a specially crafted query statement. (CVE-2023-40374)
- IBM Db2 is vulnerable to denial of service with a specially crafted XML query statement (CVE-2023-38728)
- IBM Db2 is vulnerable to a denial of service with a specially crafted SQL statement (CVE-2023-38740)
- IBM Db2 could allow a local user with special privileges to cause a denial of service during database deactivation on DPF (CVE-2023-38719)
(des)
