Se han anunciado dos vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM). Un usuario remoto autenticado podría llegar a ejecutar sentencias o acceder a objetos sin los privilegios necesarios.
En algunos casos un usuario remoto autenticado sin privilegios para acceder a una tabla, podrá ejecutar comandos en caché para realizar una consulta. Un segundo problema se produce cuando los privilegios de un objeto de la base de datos se revocan desde PUBLIC, las funciones dependientes no se marcan como INVALID.
Los problemas afectan a las versiones anteriores a la 9.7 FP3.
Se han publicado dos actualizaciones para corregir estos problemas, APAR IC70406 y APAR IC68015:
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
antonior@hispasec.com
Más información:
IC70406: SECURITY: UPDATE AGAINST A TABLE VIA A COMPOUND SQL (COMPILED) STATEMENT MAY BE EXECUTED BY USER WTHOUT REQUIRED PRIVILEGES
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
IC68015: SECURITY: FUNCTIONS ARE NOT INVALIDATED NOR DROPPED ALTHOUGH OWNER LOSES PRIVILEGES VIA PUBLIC TO ACCESS UNDERLYING OBJECTS.
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015
Deja una respuesta