DFN-CERT-2015-1095 IBM DB2: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Unix][AIX][Solaris][Windows]

DFN-CERT-2015-1095 IBM DB2: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Unix][AIX][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

IBM DB2 9.7
IBM DB2 9.8
IBM DB2 10.1
IBM DB2 10.5

Betroffene Plattformen:

Unix Unix
GNU/Linux
HP-UX family of operating systems
IBM AIX
Microsoft Windows
Oracle Solaris

Mehrere nicht näher spezifizierte Schwachstellen kann ein entfernter,
einfach authentifizierter Angreifer ausnutzen und beliebigen Programmcode
ausführen, Denial-of-Service-Angriffe starten, Informationen ausspähen und
Sicherheitsmaßnahmen umgehen.

IBM stellt zur Behebung der Schwachstellen für die Version 10.1 das FixPack
FP5 bereit. Für die Versionen 9.7, 9.8 und 10.5 gibt es noch kein
offizielles FixPack, aber IBM bietet einen Interims-Fix auf Anfrage an.

Patch:

IBM Security Bulletin swg21697988

http://www-01.ibm.com/support/docview.wss?uid=swg21697988

Patch:

IBM Security Bulletin swg21698308

http://www-01.ibm.com/support/docview.wss?uid=swg21698308

Patch:

IBM Security Bulletin swg21959650

http://www-01.ibm.com/support/docview.wss?uid=swg21959650

Patch:

IBM Security Bulletin swg21697987

http://www-01.ibm.com/support/docview.wss?uid=swg21697987

Patch:

IBM Security Bulletin swg21902661

http://www-01.ibm.com/support/docview.wss?uid=swg21902661

CVE-2015-1935: Schwachstelle in IBM DB2 ermöglicht das Ausführen beliebigen
Codes mit den Rechten des Dienstes

In IBM DB2 basiert eine nicht näher spezifizierte Schwachstelle auf
verwundbaren skalaren Funktionen. Ein entfernter, einfach authentisierter
Angreifer kann mit Hilfe von speziell präparierten SQL-Anfragen beliebigen
Programmcode mit den Rechten der DB2-Instanz ausführen und einen
Denial-of-Service-Zustand verursachen.

CVE-2015-1922: Schwachstelle in IBM DB2 ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Die Datenbewegungskomponente in IBM DB2 überprüft nicht ausreichend auf
notwendige Privilegien, wodurch ein Benutzer mit erweiterten Rechten Zeilen
aus Tabellen löschen kann. Ein entfernter, einfach authentisierter Angreifer
kann diese Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

CVE-2015-1883: Schwachstelle in IBM DB2 ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle in der automatisierten Wartungsfunktion basiert auf der
Möglichkeit, eine gespeicherte Prozedur für die Umsetzung automatisierter
Verwaltungsrichtlinien zu manipulieren. Ein entfernter, authentifizierter
Angreifer mit erweiterten Rechten kann diese Schwachstelle ausnutzen, um
sämtliche Dateien, die der DB2 ID gehören, auszulesen und somit
Informationen auszuspähen.

CVE-2015-0157: Schwachstelle in IBM DB2 erlaubt einen
Denial-of-Service-Angriff

In IBM DB2 basiert eine nicht näher spezifizierte Schwachstelle auf
verwundbaren skalaren Funktionen. Ein entfernter, einfach authentisierter
Angreifer kann diese Schwachstelle mit Hilfe eines speziell präparierten
SQL-Ausdrucks ausnutzen, um den DB2 Server abstürzen zu lassen und dadurch
einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-8910: Schwachstelle in IBM DB2 ermöglicht einem entfernten
authentifizierten Angreifer das Ausspähen von Informationen

Eine Schwachstelle in DB2 ermöglicht einem entfernten, einfach
authentifizierten Angreifer das Ausspähen von Informationen. Dieser kann,
mit einer speziell angepassten SELECT-Anweisung mit XML/XSLT-Funktion,
beliebige Textdateien, die dem Benutzer der DB2-Instanz gehören, lesen.
Unter Windows ist der Angreifer in der Lage, alle beliebigen Textdateien des
Systems zu lesen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1095/

Schwachstelle CVE-2014-8910 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8910

Schwachstelle CVE-2015-0157 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0157

Schwachstelle CVE-2015-1883 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1883

Schwachstelle CVE-2015-1922 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1922

Schwachstelle CVE-2015-1935 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1935

IBM Security Bulletin swg21697988:
http://www-01.ibm.com/support/docview.wss?uid=swg21697988

IBM Security Bulletin swg21698308:
http://www-01.ibm.com/support/docview.wss?uid=swg21698308

IBM Security Bulletin swg21959650:
http://www-01.ibm.com/support/docview.wss?uid=swg21959650

IBM Security Bulletin swg21697987:
http://www-01.ibm.com/support/docview.wss?uid=swg21697987

IBM Security Bulletin swg21902661:
http://www-01.ibm.com/support/docview.wss?uid=swg21902661

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben