Se
ha confirmado una vulnerabilidad en IBM DB2 (el popular gestor de base de datos
de IBM) versiones 9.7, 10.1, 10.5 y 11.1 sobre sistemas Linux, HP, AIX y
Windows; que podrían permitir a un atacante elevar sus privilegios en los
sistemas afectados.
El problema, con CVE-2016-5995, está relacionado con la carga de librerías
desde localizaciones inseguras. Un usuario local podría situar una librería en
una localización, de forma que un binario con el bit SETGID o SETUID podría
ejecutarlo y conseguir acceso root.
Los problemas afectan a los
siguientes productos:
IBM DB2 Express Edition
IBM DB2 Workgroup Server Edition
IBM DB2 Enterprise Server Edition
IBM DB2 Connect Application Server Edition
IBM DB2 Connect Application Server Advanced
Edition
IBM DB2 Connect Enterprise Edition
IBM DB2 Connect Unlimited Edition for System i
IBM DB2 Connect Unlimited Edition for System z
IBM DB2 Connect Unlimited Advanced Edition for
System z
IBM DB2 10.5 Advanced Enterprise Server Edition
IBM DB2 10.5 Advanced Workgroup Server Edition
IBM DB2 10.5 Developer Edition for Linux, Unix
and Windows
IBM ha publicado las
actualizaciones necesarias para corregir estos problemas en DB2 y DB2 Connect
disponibles desde Fix Central.
Más información:
Security Bulletin: Local escalation of
privilege vulnerability in IBM® DB2® (CVE-2016-5995).
Antonio Ropero
Twitter: @aropero