Se ha anunciado la existencia de una vulnerabilidad en IBM DB2 Universal
Database, que puede ser empleada por un atacante para evitar las medidas
de seguridad del sistema.
La vulnerabilidad está provocada por un error no detallado en el aviso
de IBM y que permite evitar la comprobación de autenticación. El problema
puede permitir que un usuario que sólo tenga permisos para SELECT en una
tabla realice inserción, actualización o borrado de contenidos en esa
tabla, incluso aunque no tenga los privilegios para dichas acciones.
IBM ha publicado los siguientes FixPaks que corrigen la vulnerabilidad:
DB2 Universal Database Version 8 FixPak 6c:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009926
DB2 Universal Database Version 8 FixPak 7b:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009931
DB2 Universal Database Version 8 FixPak 8a:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009930
DB2 Universal Database Version 8 FixPak 9a:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24009929
antonior@hispasec.com
Más información:
Alert on DB2 Universal Database security vulnerability
http://www-1.ibm.com/support/docview.wss?uid=swg21209727
IY73104: Security: DB2 security vulnerability related to incorrect authorization checks
http://www-1.ibm.com/support/docview.wss?uid=swg1IY73104
