Es besteht eine Sicherheitslücke im System von IBM-Datenbank DB2. Kriminelle könnten sechs Schwachstellen ausnutzen um unautorisiert auf Systeme zuzugreifen und im extremsten Fall Schadsoftware mit vollständigen Zugriffsrechten auszuführen. Es wurden Sicherheitsupdates bereitgestellt. Betroffen sind die Versionen 9․7, 10․1, 10․5, 11․1 und ebenfalls 11․5 auf den Betriebssystemen Unix, Linux & Windows (einschließlich DB2 Connect Server).
Am gefährlichsten gilt die Lücke mit der Kennung CVE-2020-4363. Aufgrund einer mangelenden Prüfung könnte ein lokaler Angreifer einen Speicherfehler (buffer overflow) provozieren, Root-Reche erlangen und Schadcode ausführen. Neben dieser ist noch eine DoS-Lücke mit dem Bedrohungsgrad "hoch" eingestuft.
DoS-Attacken
Beispielsweise über das Senden von präparierten SSL-Anfragen könnten Angreifer Systeme abstürzen lassen und in einen DoS-Zustand versetzen. Von den verbleibenden Schwachstellen geht ein "mittleres" Angriffsrisiko aus.
In den unterhalb dieser Meldung verlinkten Warnmeldungen finden Admins weitere Infos zu den Lücken und den abgesicherten Versionen 9.7 FP11, 10․1 FP6, 10․5 FP11, 11․1 FP5 und 11․5 GA. Keine der Schwachstellen lässt sich über einen Workaround absichern.
Liste nach Bedrohungsgrad absteigend sortiert:
- IBM DB2 is vulnerable to buffer overflow leading to a privileged escalation (CVE-2020-4363)
- IBM DB2 is vulnerable to a denial of service attack (CVE-2020-4420)
- IBM DB2 is vulnerable to an information disclosure. (CVE-2020-4386)
- IBM DB2 is vulnerable to an information disclosure. (CVE-2020-4387)
- IBM DB2 may be vulnerable to a Denial of Service attack (CVE-2020-4355)
- IBM DB2 is vulnerable to an information disclosure and denial of service (CVE-2020-4414)
Kommentare