DFN-CERT-2013-2104 IBM DB2 und DB2 Connect: Zwei Schwachstellen ermöglichen Denial-of-Service [][Linux][Unix][AIX][Windows]

DFN-CERT-2013-2104 IBM DB2 und DB2 Connect: Zwei Schwachstellen ermöglichen Denial-of-Service [][Linux][Unix][AIX][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM DB2 9.5
IBM DB2 9.7
IBM DB2 9.8
IBM DB2 10.1
IBM DB2 10.5
DB2 Connect 9.5
DB2 Connect 9.7
DB2 Connect 9.8
DB2 Connect 10.1
DB2 Connect 10.5

Betroffene Plattformen:

GNU/Linux GNU/Linux
HP-UX family of operating systems
IBM AIX
Microsoft Windows
Oracle Solaris

Die Schwachstellen ermöglichen einem entfernten, authentifizierten Benutzer
als Angreifer, Denial-of-Service-Angriffe durchzuführen.
Die DB2 Version 9.5 ist nur von einer Schwachstelle (CVE-2013-5466)
betroffen.

Workaround:

Gemäß den Angaben des Herstellers gibt es eine Patch für V9.7 FP9. Die
Schwachstellen sollen in den anderen Versionen in zukünftigen Versionen
behoben werden. Über die Serviceverträge können Interim-Patches angefordert
werden.

Patch:

http://www-01.ibm.com/support/docview.wss?uid=swg21660046

http://www-01.ibm.com/support/docview.wss?uid=swg21660046

Patch:

IBM Security Bulletin: 1660041

http://www-01.ibm.com/support/docview.wss?uid=swg21660041

CVE-2013-6717: Trennung aller aktiven Verbindungen durch OLAP-Anfrage bei
IBM DB2 und DB2 Connect

Eine Schwachstelle in der OLAP-Query-Engine bei IBM DB2 und DB2 Connect
führt zur Trennung aller Verbindungen zur Datenbank. Ein entfernter,
authentifizierter Benutzer kann als Angreifer diese Schwachstelle ausnutzen,
um einen Denial-of-Service-Zustand für die Datenbank, an der er angemeldet
sein muss, herbeizuführen.

CVE-2013-5466: Denial-of-Service-Schwachstelle in der XSLT-Bibliothek von
IBM DB2 und DB2 Connect

Die XSLT-Bibliothek in IBM DB2 und DB2 Connect enthält eine Schwachstelle,
die es einem entfernten, authentifizierten Benutzer als Angreifer
ermöglicht, einen Denial-of-Service-Angriff durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-2104/

Schwachstelle CVE-2013-5466 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5466

http://www-01.ibm.com/support/docview.wss?uid=swg21660046:
http://www-01.ibm.com/support/docview.wss?uid=swg21660046

Schwachstelle CVE-2013-6717 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6717

IBM Security Bulletin: 1660041:
http://www-01.ibm.com/support/docview.wss?uid=swg21660041

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben