Se ha identificado una vulnerabilidad en IBM DB2, que puede ser aprovechada por un atacante para escalar privilegios en el sistema, catalogado de Importancia: 4- Alta
Recursos afectados:
- IBM DB2 Express Edition
- IBM DB2 Workgroup Server Edition
- IBM DB2 Enterprise Server Edition
- IBM DB2 Connect™ Application Server Edition
- IBM DB2 Connect Application Server Advanced Edition
- IBM DB2 Connect Enterprise Edition
- IBM DB2 Connect Unlimited Edition for System i®
- IBM DB2 Connect Unlimited Edition for System z®
- IBM DB2 Connect Unlimited Advanced Edition for System z
- IBM DB2 10.5 Advanced Enterprise Server Edition
- IBM DB2 10.5 Advanced Workgroup Server Edition
- IBM DB2 10.5 Developer Edition for Linux, Unix and Windows
- El fallo puede ser aprovechado por un atacante local mediante la sustitución de una librería por otra maliciosa, de modo que el binario SETGID o SETUID podría ejecutarse y obtener acceso de root.
- El fallo afecta a Linux, Unix y Windows.
Recomendación
- IBM ha publicado una actualización que corrige el fallo. Dicha actualización está disponible para ser descargada en Fix Central.
Más información
- Security Bulletin: Local escalation of privilege vulnerability in IBM® DB2® (CVE-2016-5995) http://www-01.ibm.com/support/docview.wss?uid=swg21990061