Se ha descubierto un error en IBM DB2, (el popular gestor de base de datos de IBM) por el cual un atacante local podría conseguir elevar sus privilegios.
El problema, que afecta a las versiones 8 y 9 del producto, se debe a errores de permisos en «DASAUTO». De forma que un atacante local sin permisos podría llegar a ejecutarlo, lo que le permitiría elevar sus privilegios.
Se recomienda actualizar a IBM DB2 versión 9.7 Fix Pack 1, V9.5 Fix Pack 4, 9.1 Fix Pack 8 o 8 Fix Pack 18:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053
laboratorio@hispasec.com
Más información:
Security and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.5 Fix Pack 4
http://www-01.ibm.com/support/docview.wss?uid=swg21386689
IBM DB2 dasauto Command Lets Local Users Deny Service
http://securitytracker.com/alerts/2009/Nov/1023242.html
