Das Datenbankmanagementsystem Db2 von IBM ist verwundbar. Sind Attacken erfolgreich, könnten Angreifer Schadcode mit Root-Rechten ausführen. Dagegen abgesicherte Versionen sind verfügbar.
Wie man einer Warnmeldung entnehmen kann, ist die Sicherheitslücke (CVE-2021-5025) mit dem Bedrohungsgrad "hoch" eingestuft. Weiter heißt es, dass ein lokaler Angreifer aufgrund einer unzureichenden Prüfung einen Speicherfehler (buffer overflow) provozieren könnte.
Das hat in der Regel zur Folge, dass Schadcode auf Systeme gelangt. In diesem Fall hätten Angreifer sogar Root-Rechte. Dementsprechend ist davon auszugehen, dass erfolgreich attackierte Systeme vollständig kompromittiert sind.
Davon sind die Db2-Ausgaben V9.7, V10.1, V10.5, V11.1 und V11.5 auf allen Systemen betroffen. In der Warnmeldung findet man Links zu den reparierten Versionen.
Quelle: Root-Lücke in IBMs Datenbanksystem Db2 | heise online