Se han
confirmado cuatro vulnerabilidades en IBM DB2 (el popular gestor de base de
datos de IBM) versiones 9.5, 9.7, 9.8, 10.1 y 10.5 sobre sistemas AIX, Linux,
HP, Solaris y Windows; que podrían permitir a un atacante remoto provocar
condiciones de denegación de servicio en los sistemas afectados.
Detalle e Impacto de las vulnerabilidades corregidas
- Todos los problemas están relacionados con el tratamiento de sentencias ALTER TABLE específicamente construidas; y podrían permitir a atacantes remotos autenticados provocar la caída del servidor DB2.
- Los CVE asociados son CVE-2014-6209, CVE-2014-6210, CVE-2014-6097 y CVE-2014-6159.
Los problemas afectan a los siguientes
productos:
- IBM DB2 Express Edition
- IBM DB2 Workgroup Server Edition
- IBM DB2 Enterprise Server Edition
- IBM DB2 Advanced Enterprise Server Edition
- IBM DB2 Advanced Workgroup Server Edition
- IBM DB2 Connect Application Server Edition
- IBM DB2 Connect Enterprise Edition
- IBM DB2 Connect Unlimited Edition for System i
- IBM DB2 Connect Unlimited Edition for System z
- IBM ha publicado las actualizaciones necesarias para corregir estos problemas en DB2 y DB2 Connect disponibles desde Fix Central.
- Security Bulletin: IBM® DB2® LUW contains a vulnerability in which an ALTER TABLE statement on identity column may cause the DB2 server to terminate abnormally. (CVE-2014-6209) http://www.ibm.com/support/docview.wss?uid=swg21690787
- Security Bulletin: IBM® DB2® LUW contains a vulnerability in which multiple ALTER TABLE statements may cause the DB2 server to terminate abnormally. (CVE-2014-6210) http://www-01.ibm.com/support/docview.wss?uid=swg21690891
- Security Bulletin: IBM® DB2® LUW contains a vulnerability in which an ALTER TABLE statement may cause the DB2 server to terminate abnormally. (CVE-2014-6097) http://www-01.ibm.com/support/docview.wss?uid=swg21684812
- Security Bulletin: IBM® DB2® LUW contains a vulnerability in which an ALTER TABLE statement may cause the DB2 server to terminate abnormally when AUTO_REVAL is set to IMMEDIATE . (CVE-2014-6159) http://www-01.ibm.com/support/docview.wss?uid=swg21688051