lunes, 2 de septiembre de 2013

Vulnerabilidad en IBM DB2

Se ha anunciado una vulnerabilidad en IBM DB2 (el popular gestor de base de datos de IBM) y DB2 Connect, que podría permitir a un atacante evitar determinadas restricciones de seguridad. Se ven afectadas las versiones 9.7, 9.8, 10.1 y 10.5. 

El problema (con CVE-2013-4033 y CVSS de 6,5) podría llegar a permitir a usuarios autenticados conseguir privilegios para realizar consultas SELECT, INSERT, UPDATE o DELETE. Para explotar con éxito el problema se requiere autoridad EXPLAIN, SQLADM o DBADM.

IBM publicado la actualización necesaria para corregir el problema en DB2 y DB2 Connect versiones V10.5 FP1 disponible desde:
Para DB2 y DB2 Connect 9.7, 9.8 y V10.1, las actualziaciones estarán disponibles en futuros Fix Packs.

IBM ha publicado la siguiente consulta que muestra los usuarios que podrían aprovechar esta vulnerabilidad (con autoridad EXPLAIN / SQLADM / DBADM pero no DATAACCESS).

  SELECT SUBSTR(grantor,1,10) grantor,
     SUBSTR(grantee,1,20) grantee,
     granteetype,
     explainauth,
     dbadmauth,
     sqladmauth,
     dataaccessauth
  FROM SYSCAT.DBAUTH
  WHERE
     dataaccessauth = 'N' and
     (explainauth = 'Y' or dbadmauth = 'Y' or sqladmauth = 'Y')

Más información:

Security Bulletin: Unauthorized Access to Table Vulnerability in DB2 (CVE-2013-4033)


Antonio Ropero

Twitter: @aropero

4 comentarios:

  1. good iTube application. Downloading Songs cache file from itube app makes the app really easy to utilize without including nice.

    ResponderEliminar
  2. especially the one who are working.As well as weekend breaks Mobdro have actually been through there are many, however

    ResponderEliminar
  3. AdAway is the free ad blocker for Operating program using the serves computer file, download adaway apk file directly for android device.
    adaway download

    ResponderEliminar
  4. Root Checker iOS Download latest version v6.0.8. See Steps to install Root Checker for iOS and download Root Checker iPhone /iPad.
    root checker ios

    ResponderEliminar