Se ha detectado una vulnerabilidad de
criticidad alta que podría permitir la inyección de un objeto con la
posibilidad de realizar ejecución arbitraria de código en los productos
afectados, catalogada de Importancia: 4 - Alta
IBM también ha publicado otras
actualizaciones de múltiples vulnerabilidades ya conocidas en Db2 de IBM de
criticidades medias y altas. En el apartado Referencias puede encontrar más
información acerca de estas actualizaciones
Recursos
afectados:
IBM Db2 V9.7, V10.1, V10.5, y V11.1 en
todas las plataformas.
Recomendación
IBM ha puesto a disposición de los
usuarios diversas actualizaciones para solucionar la vulnerabilidad dependiendo
de la edición del producto.
V11.1: La actualización se encuentra
disponible en V11.1.3 FP3, disponible a través del siguiente enlace: Db2 11.1
Mod 3 Fix Pack 3.
V10.5, V10.1,V9.7: En la sección
Referencias puede un enlace donde encontrar la actualización según su
plataforma.
Todas aquellas plataformas que
carezcan de actualización tendrán disponible una el 31 de marzo de 2018.
Mientras tanto los usuarios pueden
establecer para el archivo connlicj.bin como directorio de salida por defecto a
una localización más segura modificando la propiedad db2.jcc.outputDirectory.
De este modo el controlador escribirá el archivo de la cache en el directorio
establecido el cual no podrá ser accesible sin autorización, previniendo la
inyección del objeto.
Detalle
de vulnerabilidades
El controlador para JDBC y SQLJ
deserializa el contenido del archivo /tmp/connlicj.bin, el cual podría permitir
la inyección de un objeto que podría permitir la ejecución arbitraria de
código. Se ha reservado el identificador CVE-2017-1677 para esta
vulnerabilidad.
Más
información
Security Bulletin: IBM® Db2® performs
unsafe deserialization in DB2 JDBC driver (CVE-2017-1677) http://www-01.ibm.com/support/docview.wss?uid=swg22012896
Security Bulletin: IBM® Db2® is
affected by multiple vulnerabilities in the GSKit library http://www-01.ibm.com/support/docview.wss?uid=swg22013756
Fuente: INCIBE
