Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas de ellas tienen impacto desconocido, y otras podrían ser explotadas por un atacante local para escalar privilegios.
* Hay errores no especificados en el componente OPERATING SYSTEM SERVICES (por ejemplo, permisos incorrectos en ACLs para DB2NODES.CFG).
* Existe un error en la herramienta DB2DART que ejecuta el comando TPUT y que permitiría a un usuario ejecutar comandos como propietario de DB2.
* Existen errores no especificados en DB2WATCH, DB2FREEZE y en varios binarios setuid. No se ha publicado más información sobre la vulnerabilidad.
Se recomienda instalar el Fixpak 4, disponible desde:
http://www-1.ibm.com/support/docview.wss?rs=71&uid=swg21255572
laboratorio@hispasec.com
Más información:
DB2 Version 9.1 for Linux, UNIX and Windows APARs by fix pack
http://www-1.ibm.com/support/docview.wss?uid=swg21255607
