viernes, 27 de noviembre de 2009

Vulnerabilidad de elevación de privilegios en IBM DB2

Se ha descubierto un error en IBM DB2, (el popular gestor de base de datos de IBM) por el cual un atacante local podría conseguir elevar sus privilegios.

El problema, que afecta a las versiones 8 y 9 del producto, se debe a errores de permisos en "DASAUTO". De forma que un atacante local sin permisos podría llegar a ejecutarlo, lo que le permitiría elevar sus privilegios.

Se recomienda actualizar a IBM DB2 versión 9.7 Fix Pack 1, V9.5 Fix Pack 4, 9.1 Fix Pack 8 o 8 Fix Pack 18:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.5 Fix Pack 4
http://www-01.ibm.com/support/docview.wss?uid=swg21386689

IBM DB2 dasauto Command Lets Local Users Deny Service
http://securitytracker.com/alerts/2009/Nov/1023242.html

No hay comentarios:

Publicar un comentario en la entrada