Se han confirmado dos vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM), que podrían permitir a usuarios locales sobrescribir archivos, provocar condiciones de denegación de servicio o la ejecución de código arbitrario.
El primer problema, con CVE-2017-1105, reside en un desbordamiento de búfer que podría permitir a un usuario local sobrescribir archivos DB2 o provocar condiciones de denegación de servicio. Este problema afecta a todas las ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en AIX, Linux, Solaris y HP. DB2 en Windows no se ve afectado.
Por otra parte, con CVE-2017-1297, otro desbordamiento de búfer basado en pila en el procesador de línea de comandos (Command Line Process, CLP), debido a una comprobación inadecuada de límites que podría permitir a un atacante local ejecutar código arbitrario. Afecta a todas las versiones y ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en todas las plataformas.
IBM ha publicado la versión V11.1.2 FP2 que soluciona el problema en V11.1.1 disponible desde Fix Central:
También se han publicado parches y actualizaciones para el resto de versiones afectadas. Dada la diversidad de versiones y sistemas se recomienda consultar los boletines publicados:
Más información:
Security Bulletin: Buffer overflow vulnerability in IBM® DB2® LUW (CVE-2017-1105)
Security Bulletin: IBM® DB2® LUW’s Command Line Processor Contains Buffer Overflow Vulnerability (CVE-2017-1297).
Antonio Ropero
Twitter: @aropero
