Se
ha anunciado una
vulnerabilidad en IBM DB2 (el popular gestor de base de datos de IBM) y DB2
Connect, que podría permitir a un atacante evitar determinadas restricciones de
seguridad. Se ven afectadas las versiones 9.7, 9.8, 10.1 y 10.5.
El problema (con CVE-2013-4033
y CVSS de 6,5) podría llegar a permitir a usuarios autenticados conseguir
privilegios para realizar consultas SELECT, INSERT, UPDATE o DELETE. Para
explotar con éxito el problema se requiere autoridad EXPLAIN, SQLADM o DBADM.
IBM publicado la actualización
necesaria para corregir el problema en DB2 y DB2 Connect versiones V10.5 FP1
disponible desde:
Para DB2 y DB2 Connect 9.7, 9.8 y
V10.1, las actualziaciones estarán disponibles en futuros Fix Packs.
IBM ha publicado la siguiente
consulta que muestra los usuarios que podrían aprovechar esta vulnerabilidad (con
autoridad EXPLAIN / SQLADM / DBADM pero no DATAACCESS).
SELECT
SUBSTR(grantor,1,10) grantor,
SUBSTR(grantee,1,20) grantee,
granteetype,
explainauth,
dbadmauth,
sqladmauth,
dataaccessauth
FROM
SYSCAT.DBAUTH
WHERE
dataaccessauth = 'N' and
(explainauth = 'Y' or dbadmauth = 'Y' or
sqladmauth = 'Y')
Más información:
Security Bulletin: Unauthorized Access to Table
Vulnerability in DB2 (CVE-2013-4033)
http://www-01.ibm.com/support/docview.wss?uid=swg21646809
No hay comentarios:
Publicar un comentario