Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
IBM DB2 9.7
IBM DB2 10.1
IBM DB2 10.5
IBM DB2 11.1
Betroffene Plattformen:
GNU/Linux
HP-UX
IBM AIX
Microsoft Windows
Oracle Solaris
Mehrere Schwachstellen in IBM DB2 LUW (Linux, Unix, Windows) und der darin
verwendeten Bibliothek zlib ermöglichen einem lokalen, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes und einem auch entfernten,
nicht authentisierten Angreifer verschiedene Denial-of-Service
(DoS)-Angriffe. DB2 auf Windows ist von der Schwachstelle CVE-2017-1105
nicht betroffen.
IBM bestätigt die Schwachstellen für alle Fix Pack Levels der folgenden IBM
DB2 V9.7, V10.1, V10.5 und V11.1 Editionen: Advanced Enterprise Server,
Advanced Workgroup Server, Connect Application Server, Connect Enterprise,
Connect Unlimited for System i, Connect Unlimited for System z, Enterprise
Server, Express sowie Workgroup Server. Ebenfalls betroffen sind die IBM
Data Server Produkte Driver Package, Driver for ODBC and CLI, Runtime Client
und Client.
IBM stellt verschiedene Special Builds für die DB2 Releases V9.7 FP11, V10.1
FP6 und V10.5 FP8 als Sicherheitsupdates bereit. Das Sicherheitsupdate für
IBM DB2 V11.1.1 ist in V11.1.2 FP2 enthalten und kann über Fix Central
heruntergeladen werden.
Patch:
IBM Security Bulletin 2003877
http://www-01.ibm.com/support/docview.wss?uid=swg22003877
Patch:
IBM Security Bulletin 2004735
http://www-01.ibm.com/support/docview.wss?uid=swg22004735
Patch:
IBM Security Bulletin 2004878
http://www-01.ibm.com/support/docview.wss?uid=swg22004878
CVE-2017-1297: Schwachstelle in IBM DB2 ermöglicht Ausführung beliebigen
Programmcodes
In IBM DB2 (beinhaltet DB2 Connect Server) existiert eine Schwachstelle
aufgrund unsauberer Prüfung der Speichergrenzen, durch die es zu einem
Pufferüberlauf auf dem Stack (Stack-based Buffer Overflow) kommen kann. Ein
lokaler, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen,
um über den Kommandozeilenprozess beliebigen Programmcode auszuführen.
CVE-2017-1105: Schwachstelle in IBM DB2 ermöglicht Denial-of-Service-Angriff
In IBM DB2 (beinhaltet DB2 Connect Server) existiert eine Schwachstelle,
durch die es zu einem Pufferüberlauf (Buffer Overflow) kommen kann. Ein
lokaler, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen,
um DB2-Dateien zu überschreiben und dadurch einen Denial-of-Service
(DoS)-Zustand zu bewirken.
CVE-2016-9843: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch eine vom C-Standard abweichende Zeigerarithmetik auf Power-PC
Plattformen besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.
CVE-2016-9842: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch das Verschieben von negativen Ganzzahlen in der Funktion ‘inflateMark’
besteht eine Schwachstelle in zlib. Dabei können nicht vorhersehbare
Ergebnisse entstehen, welche im folgenden Programmablauf einen Absturz
verursachen können. Ein entfernter, nicht authentisierter Angreifer kann
einen Denial-of-Service-Angriff durchführen.
CVE-2016-9841: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch die Verwendung einer nicht mehr zeitgemäßen Zeigerarithmetik in
‘inffast.c’ besteht eine Schwachstelle in zlib, die es ermöglicht, auf
Speicherbereiche außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds
Access) und dadurch eine Speicherschutzverletzung auszulösen. Ein
entfernter, nicht authentisierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.
CVE-2016-9840: Schwachstelle in zlib ermöglicht Denial-of-Service-Angriff
Durch eine fehlerhaft umgesetzte Zeigerarithmetik in ‘inftrees.c’ besteht
eine Schwachstelle in zlib, die es ermöglicht, auf Speicherbereiche
außerhalb zulässiger Grenzen zuzugreifen (Out-of-Bounds Access) und dadurch
eine Speicherschutzverletzung auszulösen. Ein entfernter, nicht
authentisierter Angreifer kann einen Denial-of-Service-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1097/
Schwachstelle CVE-2016-9840 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9840
Schwachstelle CVE-2016-9841 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9841
Schwachstelle CVE-2016-9842 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9842
Schwachstelle CVE-2016-9843 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9843
IBM Security Bulletin 2003877:
http://www-01.ibm.com/support/docview.wss?uid=swg22003877
IBM Security Bulletin 2004735:
http://www-01.ibm.com/support/docview.wss?uid=swg22004735
IBM Security Bulletin 2004878:
http://www-01.ibm.com/support/docview.wss?uid=swg22004878
IBM PSIRT Blog: Buffer overflow vulnerability in IBM DB2 LUW (CVE-2017-1105):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-buffer-overflow-vulnerability-in-ibm-db2-luw-cve-2017-1105/
IBM PSIRT Blog: IBM DB2 LUW on AIX and Linux Affected by vulnerabilities in
zlib (CVE-2016-9840, CVE-2016-9841):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-db2-luw-on-aix-and-linux-affected-by-vulnerabilities-in-zlib-cve-2016-9840-cve-2016-9841/
IBM PSIRT Blog: IBM DB2 LUW’s Command Line Processor Contains Buffer Overflow
Vulnerability (CVE-2017-1297):
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-db2-luws-command-line-processor-contains-buffer-overflow-vulnerability-cve-2017-1297/
Schwachstelle CVE-2017-1105 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1105
Schwachstelle CVE-2017-1297 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1297
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
