Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en productos de IBM

Múltiples vulnerabilidades en productos de IBM

Fecha de publicación: 
08/11/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • Todos los niveles de fix pack de las ediciones IBM Db2 versiones 9.7, 10.1, 10.5 y 11.1 en todas las plataformas, exceptuando Windows que no se ve afectada.
  • IBM Data Science Experience Local versiones 1.1.0, 1.1.1, 1.1.2, 1.1.3 y 1.2.0
Descripción: 

IBM ha detectado 3 vulnerabilidades de severidad alta, dos de tipo escalada de privilegios en IBM Db2 y una de uso de contraseñas embebidas en IBM Data Science Experience Local.

Solución: 

IBM recomienda actualizar los productos afectados desde su centro de descargas.

Detalle: 
  • Los binarios de IBM DB2 para Linux, UNIX y Windows (incluye DB2 Connect Server) cargan bibliotecas compartidas desde una ruta no confiable, lo que potencialmente da a los usuarios con privilegios reducidos acceso completo a la cuenta de instancia de DB2 al cargar una biblioteca compartida maliciosa. Se ha reservado el identificador CVE-2018-1802 para esta vulnerabilidad.
  • La contraseña para el certificado de la clave privada con el que se accede al servidor de IBM Data Science Experience Local Hadoop Integration está embebida.
  • Db2 es vulnerable a una escalada de privilegios explotando múltiples ataques a enlaces simbólicos, lo que podría permitir al propietario de la instancia Db2 o al propietario del DAS obtener acceso de root. IBM DB2 podría permitir a un usuario local sin privilegios sobrescribir archivos en el sistema, lo que podría causar daños a la base de datos. Se han reservado los identificadores CVE-2018-1799, CVE-2018-1780, CVE-2018-1781 y CVE-2018-1834 para esta vulnerabilidad.

Encuesta valoración