Se han descubierto dos vulnerabilidades en IBM DB2 Universal Data Base
que pueden permitir a usuarios locales maliciosos elevar sus privilegios
en los sistemas afectados.
El problema reside en que «db2dart» y «db2licm» no manejan
correctamente las cadenas largas de caracteres, permitiendo a usuarios
maliciosos provocar un desbordamiento de búfer. Esto puede ser
aprovechado por miembros de los grupos «db2iadm1» y «db2asgrp» para
ejecutar código con los privilegios de root.
La vulnerabilidad ha sido descubierta en la versión 7.2 del sistema
gestor de bases de datos, pero otras versiones anteriores podrían
mostrar también este problema.
La dirección para los parches de actualización es la siguiente:
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2linuxv7/FP10a_U495179
jcanto@hispasec.com
Más información:
Multiple IBM DB2 Stack Overflow Vulnerabilities
http://www.coresecurity.com/common/showdoc.php?idx=366&idxseccion=10
