martes, 18 de agosto de 2009

Acceso no autorizado y denegación de servicio en IBM DB2

Se han corregido dos vulnerabilidades en bases de datos IBM DB2 (versiones anteriores a 8.2 Fixpak 18), que podrían ser explotadas por atacantes para provocar denegaciones de servicio o comprometer los sistemas afectados.

El primero de los problemas está provocado por un error en el uso del comando DAS, que podría permitir a un atacante conseguir acceso no autorizado a las bases de datos vulnerables.

La segunda vulnerabilidad reside en el tratamiento de paquetes específicamente construidos, que un atacante podría explotar para provocar la caída de DB2JDS con la consiguiente condición de denegación de servicio.

Se recomienda actualizar a IBM DB2 versión 8.2 Fixpak 18 :
http://www-01.ibm.com/support/docview.wss?rs=71&uid=swg24024075


Antonio Ropero
antonior@hispasec.com


Más información:

APAR fixes included in Fixpak 18
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/aparlist/db2_v82/APARLIST.TXT

IBM DB2 Unauthorized Access and Denial of Service Vulnerabilities
http://www.vupen.com/english/advisories/2009/2293

No hay comentarios:

Publicar un comentario en la entrada