IBMs Datenbank DB2 ist verwundbar. Angreifer könnten sechs Sicherheitslücken ausnutzen, um Systeme zu attackieren und im schlimmsten Fall Schadcode mit Root-Rechten auszuführen. Sicherheitsupdates sind verfügbar.
Von den Schwachstellen sind die Versionen 9.7, 10.1, 10.5, 11.1 und 11.5 unter Linux, Unix und Windows (inklusive DB2 Connect Server) betroffen.
Am gefährlichsten gilt die Lücke mit der Kennung CVE-2020-4363. Aufgrund einer mangelenden Prüfung könnte ein lokaler Angreifer einen Speicherfehler (buffer overflow) provozieren, Root-Reche erlangen und Schadcode ausführen. Neben dieser ist noch eine DoS-Lücke mit dem Bedrohungsgrad "hoch" eingestuft.
DoS-Attacken
Beispielsweise über das Senden von präparierten SSL-Anfragen könnten Angreifer Systeme abstürzen lassen und in einen DoS-Zustand versetzen. Von den verbleibenden Schwachstellen geht ein "mittleres" Angriffsrisiko aus.
In den unterhalb dieser Meldung verlinkten Warnmeldungen finden Admins weitere Infos zu den Lücken und den abgesicherten Versionen 9.7 FP11, 10.1 FP6, 10.5 FP11, 11.1 FP5 und 11.5 GA. Keine der Schwachstellen lässt sich über einen Workaround absichern.
Liste nach Bedrohungsgrad absteigend sortiert:
- IBM DB2 is vulnerable to buffer overflow leading to a privileged escalation (CVE-2020-4363)
- IBM DB2 is vulnerable to a denial of service attack (CVE-2020-4420)
- IBM DB2 is vulnerable to an information disclosure. (CVE-2020-4386)
- IBM DB2 is vulnerable to an information disclosure. (CVE-2020-4387)
- IBM DB2 may be vulnerable to a Denial of Service attack (CVE-2020-4355)
- IBM DB2 is vulnerable to an information disclosure and denial of service (CVE-2020-4414)
Quelle: Sicherheitsupdates: Root-Lücke in IBM-Datenbank DB2 | heise online