miércoles, 3 de junio de 2009

Acceso remoto a la base de datos en IBM DB2

Se ha anunciado una vulnerabilidad en IBM DB2 por la que en determinadas circunstancias un usuario remoto podrá llegar acceder al contenido de la base de datos.

En sistemas configurados con autenticación basada en LDAP, con el servidor LDAP permitiendo binds anónimos, y con funcionalidad de busqueda de grupos mediante módulos auxiliares (plug-in) LDAP de seguridad (IBMLDAPauthserver), un usuario remoto podrá conectar con la base de datos sin autenticación.

IBM ha corregido en este problema en la versión 9.5 fixpak 4 (APAR JR32268), o descargando los últimos plugins de seguridad LDAP desde:
https://www14.software.ibm.com/webapp/iwm/web/reg/pick.do?lang=en_US&source=swg-dm-db2ldap&S_TACT=swg-dm-db2ldap


Antonio Ropero
antonior@hispasec.com


Más información:

JR32268: Unauthorized connections possible on database servers with ldap-based authentication
http://www-01.ibm.com/support/docview.wss?uid=swg1JR32268

No hay comentarios:

Publicar un comentario en la entrada