Vulnerabilidad en IBM DB2
Se ha anunciado una vulnerabilidad en IBM DB2 (el popular gestor de base
de datos de IBM) y DB2 Connect, que podría permitir a un atacante evitar
determinadas restricciones de seguridad. Se ven afectadas las versiones
9.7, 9.8, 10.1 y 10.5.
El problema (con CVE-2013-4033 y CVSS de 6,5) podría llegar a permitir
a usuarios autenticados conseguir privilegios para realizar consultas
SELECT, INSERT, UPDATE o DELETE. Para explotar con éxito el problema
se requiere autoridad EXPLAIN, SQLADM o DBADM.
IBM publicado la actualización necesaria para corregir el problema en
DB2 y DB2 Connect versiones V10.5 FP1 disponible desde:
http://www-01.ibm.com/support/docview.wss?uid=swg27007053
Para DB2 y DB2 Connect 9.7, 9.8 y V10.1, las actualziaciones estarán
disponibles en futuros Fix Packs.
IBM ha publicado la siguiente consulta que muestra los usuarios que
podrían aprovechar esta vulnerabilidad (con autoridad EXPLAIN / SQLADM /
DBADM pero no DATAACCESS).
SELECT SUBSTR(grantor,1,10) grantor,
SUBSTR(grantee,1,20) grantee,
granteetype,
explainauth,
dbadmauth,
sqladmauth,
dataaccessauth
FROM SYSCAT.DBAUTH
WHERE
dataaccessauth = ‘N’ and
(explainauth = ‘Y’ or dbadmauth = ‘Y’ or sqladmauth = ‘Y’)
Fuente
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.