Reportada vulnerabilidad en IBM DB2 (gestor de base de datos de IBM) y DB2 Connect, que podría permitir a un atacante evitar determinadas restricciones de seguridad.Recursos afectados:
DB2 y DB2 Connect versiones 9.7, 9.8, 10.1 y 10.5CVE's realcionadas e Impacto en el sistema de las vulnerabilidades:
- La vulnerabilidad (con CVE-2013-4033 y CVSS de 6,5) podría llegar a permitir a usuarios autenticados conseguir privilegios para realizar consultas SELECT, INSERT, UPDATE o DELETE.
- Para explotar con éxito el problema se requiere autoridad EXPLAIN, SQLADM o DBADM.
Recomendación
- IBM publicado la actualización necesaria para corregir el problema en DB2 y DB2 Connect versiones V10.5 FP1 disponible desde http://www-01.ibm.com/support/docview.wss?uid=swg27007053
- Para DB2 y DB2 Connect 9.7, 9.8 y V10.1, las actualzaciones estarán disponibles en futuros Fix Packs.
Más información:
- Security Bulletin: Unauthorized Access to Table Vulnerability in DB2 (CVE-2013-4033) http://www-01.ibm.com/support/docview.wss?uid=swg21646809
- Una al día (Vulnerabilidad en IBM DB2 ) http://unaaldia.hispasec.com/2013/09/vulnerabilidad-en-ibm-db2.html
Fuente: Hispasec
