Inicio / Alerta Temprana / Avisos Seguridad / Escalada de privilegios en IBM DB2

Escalada de privilegios en IBM DB2

Fecha de publicación: 
27/05/2014
Importancia: 
4 - Alta
Recursos afectados: 

Versiones DB2 y DB2 Connect V9.1, V9.5, V9.7, V10.1 y V10.5

  • IBM DB2 Express Edition
  • IBM DB2 Workgroup Server Edition
  • IBM DB2 Enterprise Server Edition
  • IBM DB2 Connect™ Application Server Edition
  • IBM DB2 Connect Application Server Advanced Edition
  • IBM DB2 Connect Enterprise Edition
  • IBM DB2 Connect Unlimited Edition for System i®
  • IBM DB2 Connect Unlimited Edition for System z®
  • IBM DB2 Connect Unlimited Advanced Edition for System z
  • IBM DB2 10.1 pureScale Feature
  • IBM DB2 10.5 Advanced Enterprise Server Edition
  • IBM DB2 10.5 Advanced Workgroup Server Edition
  • IBM DB2 10.5 Developer Edition for Linux, Unix and Windows

La vulnerabilidad CVE-2014-0907 además también afecta a las ediciones IBM V9.8 DB2 pureScale Feature correspondientes a sistemas AIX y Linux.

Descripción: 

CVE ID: CVE-2013-6744
Escalada de privilegios en Windows.

CVE ID: CVE-2014-0907
Escalada de privilegios en sistemas Linux y Unix.

Solución: 

Descargar los parches de Fix Central:

Para las versiones V9.8, afectadas por la vulnerabilidad CVE-2014-0907, contactar con el fabricante. La versión V9.1 ya no está soportada por IBM, por lo que se recomienda la actualización a alguna de las versiones posteriores y la aplicación del parche correspondiente.

Detalle: 

CVE ID: CVE-2013-6744
Son necesarios:

  • Credenciales válidas para conectar a la base de datos.
  • Privilegios CONNECT en la base de datos.
  • Autoridad CREATE_EXTERNAL_ROUTINE para crear una rutina externa. PUBLIC no tiene este privilegio por defecto.

CVE ID: CVE-2014-0907
Esta vulnerabilidad solo puede ser explotada a través de una cuenta local.

Etiquetas: