Se han confirmado diversas vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM) para Linux, UNIX y Windows; que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o provocar denegaciones de servicio.
El primero de los problemas reside en DB2STST. Un segundo fallo se debe a un error en DB2DART y podría permitir a un atacante sobrescribir archivos del propietario de la instancia. Por último, una vulnerabilidad de denegación de servicio al tratar grupos y enumeración de usuarios en Windows 2008.
Se ven afectadas las versiones de IBM DB2 anteriores a la 9.1 Fix Pack 9, anteriores a 9.5 Fix Pack 6 y anteriores a 9.7 Fix Pack 2. Se recomienda actualizar a cualquiera de estas versiones:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053
antonior@hispasec.com
Más información:
Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.7 Fix Pack 2
http://www-01.ibm.com/support/docview.wss?uid=swg21432298
Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 9
http://www-01.ibm.com/support/docview.wss?uid=swg21426108
Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.5 Fix Pack 6
http://www-01.ibm.com/support/docview.wss?uid=swg21444772
