lunes, 2 de septiembre de 2013

Vulnerabilidad en IBM DB2

Se ha anunciado una vulnerabilidad en IBM DB2 (el popular gestor de base de datos de IBM) y DB2 Connect, que podría permitir a un atacante evitar determinadas restricciones de seguridad. Se ven afectadas las versiones 9.7, 9.8, 10.1 y 10.5. 

El problema (con CVE-2013-4033 y CVSS de 6,5) podría llegar a permitir a usuarios autenticados conseguir privilegios para realizar consultas SELECT, INSERT, UPDATE o DELETE. Para explotar con éxito el problema se requiere autoridad EXPLAIN, SQLADM o DBADM.

IBM publicado la actualización necesaria para corregir el problema en DB2 y DB2 Connect versiones V10.5 FP1 disponible desde:
http://www-01.ibm.com/support/docview.wss?uid=swg27007053
Para DB2 y DB2 Connect 9.7, 9.8 y V10.1, las actualziaciones estarán disponibles en futuros Fix Packs.

IBM ha publicado la siguiente consulta que muestra los usuarios que podrían aprovechar esta vulnerabilidad (con autoridad EXPLAIN / SQLADM / DBADM pero no DATAACCESS).

  SELECT SUBSTR(grantor,1,10) grantor,
     SUBSTR(grantee,1,20) grantee,
     granteetype,
     explainauth,
     dbadmauth,
     sqladmauth,
     dataaccessauth
  FROM SYSCAT.DBAUTH
  WHERE
     dataaccessauth = 'N' and
     (explainauth = 'Y' or dbadmauth = 'Y' or sqladmauth = 'Y')

Más información:

Security Bulletin: Unauthorized Access to Table Vulnerability in DB2 (CVE-2013-4033)
http://www-01.ibm.com/support/docview.wss?uid=swg21646809


Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: , ,
Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017