Durch das erfolgreiche Ausnutzen einer Sicherheitslücke könnten Angreifer Systeme mit dem Datenbanksystem IBM Db2 mit Schadcode attackieren. Admins sollten die abgesicherten Versionen zeitnah installieren.
Die Schwachstelle (CVE-2020-4701) ist mit der Bedrohungseinstufung "hoch" versehen. In einer Warnmeldung schreibt IBM, dass die Versionen für Linux, Unix und Windows davon betroffen sind. Auch Db2 Connect Server sei verwundbar.
Root-Lücke
Hat ein Angreifer lokalen Zugriff auf ein gefährdetes System, könnte er auf einem nicht näher beschriebenem Weg einen Speicherfehler (buffer overflow) auslösen und als Ergebnis Schadcode mit Root-Rechten ausführen.
Davon sind die Versionen V10.5, V11.1 und 11.5 betroffen. V10.1 und 9.7 sind IBM zufolge nicht anfällig. Bislang ist nur die abgesicherte Ausgabe 11.5.5.0 erschienen. Für die anderen Versionen gibt es Special Builds, in denen die Entwickler die Lücke geschlossen haben.
Quelle: Datenbanksystem: Eine Lücke in IBM Db2 gefährdet Linux, Unix und Windows | heise online