Se han confirmado dos vulnerabilidades en IBM DB2 (el
popular gestor de base de datos de IBM), que podrían permitir a usuarios
locales sobrescribir archivos, provocar condiciones de denegación de servicio o
la ejecución de código arbitrario.
El primer problema, con CVE-2017-1105, reside en un
desbordamiento de búfer que podría permitir a un usuario local sobrescribir
archivos DB2 o provocar condiciones de denegación de servicio. Este problema
afecta a todas las ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en AIX,
Linux, Solaris y HP. DB2 en Windows no se ve afectado.
Por otra parte, con CVE-2017-1297, otro desbordamiento de
búfer basado en pila en el procesador de línea de comandos (Command Line
Process, CLP), debido a una comprobación inadecuada de límites que podría
permitir a un atacante local ejecutar código arbitrario. Afecta a todas las
versiones y ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en todas las
plataformas.
IBM ha publicado la versión V11.1.2 FP2 que
soluciona el problema en V11.1.1 disponible desde Fix Central http://www-01.ibm.com/support/docview.wss?uid=swg24043789
También se han publicado parches y actualizaciones para
el resto de versiones afectadas. Dada la diversidad de versiones y sistemas se
recomienda consultar los boletines publicados:
Más información:
Security
Bulletin: Buffer overflow vulnerability in IBM® DB2® LUW (CVE-2017-1105) http://www-01.ibm.com/support/docview.wss?uid=swg22003877
Security
Bulletin: IBM® DB2® LUW's Command Line Processor Contains Buffer Overflow
Vulnerability (CVE-2017-1297). http://www-01.ibm.com/support/docview.wss?uid=swg22004878
Fuente: Hispasec.com