Sicherheitsprobleme in IBM-Datenbank DB2

Sechs Sicherheitslücken in IBMs DB2-Datenbank vermeldet der Sicherheitsdienst iDenfense.

Die Fehler wurden in den IBM-Datenbanklösungen DB2 Version 8 und 9 entdeckt. Die CVE-Nummern CVE-2007-4276, CVE-2007-4275, CVE-2007-4273, CVE-2007-4272, CVE-2007-4271 und CVE-2007-4270 sind dafür reserviert. Bei der ersten Sicherheitslücke lässt sich durch einen speziell manipulierten String in einer nicht näher spezifizierten Umgebungsvariablen (Fehler 4276) in der Datenbank ein Buffer-Overflow ausgelöst werden. Dadurch kann beliebiger Code ausgeführt werden. Der zweite Fehler (4275) macht es Angreifern möglich, bei der Eingabe von Suchanfragen eigene Binarys zu laden oder auszuführen.

Eine weitere kritische Lücke (Fehler 4273) wird durch fehlerhafte Setuid-Binarys in der DB2 hervorgerufen. Hat ein Angreifer spezielle symbolische Verlinkungen im System erstellt, kann es passieren, dass das System beim Erstellen von neuen Verzeichnissen diesen Links folgt und so dem Angreifer den Weg ebnet. Der kann dann in den erstellten Verzeichnissen mit vollen Schreibrechten agieren.

Auch die restlichen Sicherheitslücken haben ihren Ursprung in fehlerhaftem Datei- und Verzeichnismanagement und ermöglichen eventuell die Erlangung von Root-Rechten. Ausführliche Informationen zu allen Sicherheitslücken sind unter idefense aufgeführt. Der Hersteller IBM hat bereits Fixes der Lücken für beide Datenbankversionen (Fix für Version 8, Fix für Version 9) bereitgestellt.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben