Se
han confirmado dos vulnerabilidades en IBM DB2 (el popular gestor de base de
datos de IBM), que podrían permitir a usuarios locales sobrescribir archivos,
provocar condiciones de denegación de servicio o la ejecución de código
arbitrario.
El primer problema,
con CVE-2017-1105, reside en un desbordamiento de búfer que podría
permitir a un usuario local sobrescribir archivos DB2 o provocar condiciones de
denegación de servicio. Este problema afecta a todas las ediciones de IBM DB2
V9.7, V10.1, V10.5 y V11.1 en AIX, Linux, Solaris y HP. DB2 en Windows no se ve
afectado.
Por otra parte, con CVE-2017-1297, otro desbordamiento de búfer basado en pila
en el procesador de línea de comandos (Command Line Process, CLP), debido a una
comprobación inadecuada de límites que podría permitir a un atacante local
ejecutar código arbitrario. Afecta a todas las versiones y ediciones de IBM DB2
V9.7, V10.1, V10.5 y V11.1 en todas las plataformas.
IBM ha publicado la versión V11.1.2
FP2 que soluciona el problema en V11.1.1 disponible desde Fix Central:
También se han publicado parches
y actualizaciones para el resto de versiones afectadas. Dada la diversidad de
versiones y sistemas se recomienda consultar los boletines publicados:
Más información:
Security Bulletin: Buffer overflow
vulnerability in IBM® DB2® LUW (CVE-2017-1105)
Security Bulletin: IBM® DB2® LUW's Command Line
Processor Contains Buffer Overflow Vulnerability (CVE-2017-1297).
Antonio Ropero
Twitter: @aropero
