Vulnerabilidades en IBM DB2

Se han confirmado dos vulnerabilidades en IBM DB2 (el popular gestor

de base de datos de IBM) versiones 9.5, 9.7, 9.8, 10.1 y 10.5 sobre
sistemas AIX, Linux, HP, Solaris y Windows; que podrían permitir a
un atacante remoto provocar condiciones de denegación de servicio o
incluso comprometer los sistemas afectados.

El primero de los problemas (con CVE-2014-3095) reside en una denegación
de servicio si un usuario introduce una consulta SELECT con una
subconsulta que contenga una operación UNION específicamente construida.

Por otra parte (con CVE-2014-3094) existe un desbordamiento de búfer
debido a que no existen las adecuadas comprobaciones en el tratamiento
de sentencias ALTER MODULE. Un usuario remoto autenticado podrá lograr
ejecutar código arbitrario en los sistemas afectados.

Ambos problemas afectas a los siguientes productos:
IBM DB2 Express Edition
IBM DB2 Workgroup Server Edition
IBM DB2 Enterprise Server Edition
IBM DB2 Advanced Enterprise Server Edition
IBM DB2 Advanced Workgroup Server Edition
IBM DB2 Connect Application Server Edition
IBM DB2 Connect Enterprise Edition
IBM DB2 Connect Unlimited Edition for System i
IBM DB2 Connect Unlimited Edition for System z

IBM publicado las actualizaciones necesarias para corregir estos
problemas en DB2 DB2 y DB2 Connect V10.5 en el V10.5 FP4, disponible
desde:
http://www.ibm.com/support/docview.wss?uid=swg24038261

Para otras versiones los usuarios deberán contactar con su soporte para
obtener los parches necesarios.

Ver mas informacion al respecto en Fuente: http://unaaldia.hispasec.com/2014/09/vulnerabilidades-en-ibm-db2.html