IBM ha detectado 3
vulnerabilidades de criticidad alta en Db2 que podría permitir a un atacante
local elevación de privilegios y ejecución arbitraria de código, catalogadas
de Importancia: 4 - Alta
Recursos afectados:
Versiones de IBM Db2:
·
V9.7.
·
V10.1.
·
V10.5.
·
V11.1.
Recomendación
IBM ha puesto a
disposición de los usuarios actualizaciones que solucionan las vulnerabilidades
en función de la versión y plataforma de Db2 afectada.
Las actualizaciones
correspondientes de Db2 son:
·
V9.7
FP11 para versiones V9.7.
·
V10.1
FP6 para versiones V10.1.
·
V10.5
FP9 para V10.5.
·
V11.1.3
iFix001 para V11.1.3.
Los enlaces de
descargas están disponibles en la sección Más
información.
Detalle de vulnerabildades
La carga de librerías
en Db2 a través de rutas potencialmente no confiables podrían permitir a un
usuario, con bajos privilegios en el sistema, acceso completo a la cuenta de
instancia Db2. Se ha reservado el identificador CVE-2018-1487 para esta
vulnerabilidad.
Múltiples
vulnerabilidades en Db2 Administration Server de Windows podrían permitir a un
usuario local ejecutar código arbitrario. Se ha reservado el identificador
CVE-2018-1458 para esta vulnerabilidad.
La herramienta db2support está afectada por
una vulnerabilidad de formato de cadena, la cual podría permitir a un usuario
local ejecutar código arbitrario. Se ha reservado el identificador
CVE-2018-1566 para esta vulnerabilidad.
Más información
·
Search
support or find a product: Search support or find a product Search Security
Bulletin: Privilege escallation in IBM® Db2® via loading libraries from
untrusted path (CVE-2018-1487) http://www-01.ibm.com/support/docview.wss?uid=swg22016505
·
Search
support or find a product: Search support or find a product Search Security
Bulletin: Multiple untrusted search path vulnerabilities in the IBM® Db2® DAS
component on Windows (CVE-2018-1458).https://www-01.ibm.com/support/docview.wss?uid=swg22016624
·
Security
Bulletin: Format string vulnerability in IBM® Db2® tool db2support
(CVE-2018-1566).http://www-01.ibm.com/support/docview.wss?uid=swg22016182
Fuente: INCIBE