Admins, die Datenbanken mit IBM Informix verwalten, sollten das System auf den aktuellen Stand bringen. Der Grund dafür ist eine mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke.
Die Schwachstelle (CVE-2020-4799) findet sich im Spatial-Datablade-Modul. Dieses baut das System in puncto Dateitpyen und Routinen aus. Aufgrund von mangelnden Prüfungen könnten lokal angemeldete Angreifer dem Modul präparierte SQL-Befehle unterschieben. Ist eine Attacke erfolgreich, könnte sich ein Angreifer höhere Nutzerrechte erschleichen und eigenen Code ausführen.
In einer Warnmeldung listen die IBM-Entwickler weitere Infos zur Schwachstelle auf. Beispielsweise wie Admins die installierte Spatial-Datablade-Version herausfinden können. Folgende Ausgaben sind abgesichert:
Spatial Datablade for Informix Dynamic Server
- Server VRMF 12.10.XC7 bis 12.10.XC14, 14.10.XC1 bis 14.10.XC3 und 14.10.XC4W1
- Blade VRMF 8.22.XC2 und 8.22.XC4
Quelle: Fehler in IBM Informix als Sprungbrett für Angreifer | heise online