Publicado el 19 septiembre 2016

Elevación de privilegios en IBM DB2

Importancia:
Alta

Recursos afectados:

• IBM DB2 Express Edition
• IBM DB2 Workgroup Server Edition
• IBM DB2 Enterprise Server Edition
• IBM DB2 Connect™ Application Server Edition
• IBM DB2 Connect Application Server Advanced Edition
• IBM DB2 Connect Enterprise Edition
• IBM DB2 Connect Unlimited Edition for System i®
• IBM DB2 Connect Unlimited Edition for System z®
• IBM DB2 Connect Unlimited Advanced Edition for System z
• IBM DB2 10.5 Advanced Enterprise Server Edition
• IBM DB2 10.5 Advanced Workgroup Server Edition
• IBM DB2 10.5 Developer Edition for Linux, Unix and Windows

Descripción:

Se ha identificado una vulnerabilidad en IBM DB2, que puede ser aprovechada por un atacante para escalar privilegios en el sistema.

Impacto:

El fallo puede ser aprovechado por un atacante local mediante la sustitución de una librería por otra maliciosa, de modo que el binario SETGID o SETUID podría ejecutarse y obtener acceso de root.

El fallo afecta a Linux, Unix y Windows.

Solución:

IBM ha publicado una actualización que corrige el fallo. Dicha actualización está disponible para ser descargada en Fix Central.

 

Fuente: INCIBE