IBM hat vor einer Sicherheitslücke in seinem Datenbank-Management-System Db2 gewarnt die es Angreifern ermöglicht, ihre Rechte auf dem System auszuweiten. Betroffen sind laut IBM Windows-Systeme, für die jedoch Software-Aktualisierungen zur Verfügung stehen um die Schwachstelle zu beheben. Die Sicherheitslücke trägt die Kennung CVE-2023-47145 und wird mit einem CVSS (Common Vulnerability Scoring System) von 8.4 bewertet was als "hoch" eingestuft wird.
Details zur Sicherheitslücke
Laut IBM können Angreifer mit der MSI-Reparaturfunktion ihre Rechte auf dem Windows-System auf "SYSTEM"-Ebene ausweiten. Genauere technische Details zu der Schwachstelle wurden jedoch nicht veröffentlicht.
Betroffene Versionen & Lösung
Die Sicherheitslücke betrifft die Versionen IBM Db2 10.5.0.x, 11.1.4.x und 11.5.x für Windows. Versionen für Linux und Unix sind von der Schwachstelle nicht betroffen. Ältere Versionen könnten ähnlich wie anfällig sein, erhalten jedoch keine Unterstützung mehr. IBM rät daher auf eine noch unterstützte Version von Db2 umzusteigen.
Für die betroffenen Db2-Versionen hat IBM spezielle Builds mit einem Interims-Fix bereitgestellt die in der Fix Central erhältlich sind. Diese Builds basieren auf dem jüngsten Fixpack-Level für jedes betroffene Release: 10.5 FP11, 11.1.4 FP7 und 11.5.9 und ebenfalls 11.5.8. Sie können auf jedes vorherige Fixpack-Level der jeweiligen Reihe angewendet werden. Die Software-Aktualisierungen für 32- und 64-bittige Windows-Systeme sind direkt in der Sicherheitsmitteilung von IBM verlinkt.
Keine temporären Gegenmaßnahmen
IBM hat keine temporären Gegenmaßnahmen für die Sicherheitslücke bekannt gegeben. Daher wird empfohlen die aktualisierten Software-Pakete so schnell wie möglich zu installieren um das Risiko einer Ausnutzung der Schwachstelle zu minimieren. Im vergangenen Oktober hatte IBM bereits zahlreiche Schwachstellen in Db2 behoben, darunter auch kritische Lücken die das Einschleusen von Schadcode ermöglichten.
Zusätzliche Informationen
Das Common Vulnerability Scoring System (CVSS) ist eine offene und allgemein anerkannte Metrik zur Bewertung von Schwachstellen und zur Bestimmung ihrer Schwere. Es bewertet Schwachstellen auf einer Skala von 0 bis 10 obwohl dabei 10 die höchste Schwere darstellt. Eine Bewertung von 8.4 ist deshalb als sehr ernst zu betrachten.
Db2 ist eine relationale Datenbankverwaltungssystem-Software des Unternehmens IBM. Es ist auf verschiedenen Betriebssystemen wie Windows Linux & Unix verfügbar. Die Sicherheit und die Behebung von Schwachstellen in Datenbank-Management-Systemen sind von entscheidender Bedeutung, da sie sensible Unternehmensdaten speichern und verwalten.
Kommentare
IT-Verantwortliche die IBM Db2 unter Windows einsetzen, sollten die Sicherheitsmitteilung von IBM beachten und die bereitgestellten Software-Aktualisierungen zügig installieren um die Sicherheitslücke zu schließen. Die regelmäßige Überwachung von Sicherheitswarnungen und die schnelle Reaktion darauf sind wesentliche Bestandteile einer umfassenden Sicherheitsstrategie für Unternehmenssysteme.