Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Elevación de privilegios en IBM DB2

Fecha de publicación 13/03/2019
Importancia
4 - Alta
Recursos Afectados
  • IBM DB2 versiones V9.7, V10.1, V10.5, y V11.1 en todas las plataformas.
Descripción

IBM ha publicado una vulnerabilidad en sus productos IBM DB2 que podrían permitir a un atacante la escalada de privilegios desde un usuario local con bajos privilegios hasta usuario con privilegios root.

Solución

Aplicar el parche correspondiente en función de la versión y la plataforma. 

  • Para DB2 V11.1 el parche V11.1.4.4 iFix001 está disponible para descarga en IBM Fix Central.
  • Para cualquier otra versión vulnerable se puede descargar un parche provisional para cada plataforma en IBM Fix Central según el boletín indicado en el apartado «Referencias».
Detalle
  • IBM DB2 para Linux, UNIX y Windows (incluido DB2 Connect Server) descarga librerías de una ruta no confiable, lo que puede ser aprovechado por un atacante para descargar una librería maliciosa y permitir a un usuario con bajos privilegios escalar privilegios hasta root. Se ha reservado el identificador CVE-2019-4094 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Listado de referencias
Security Bulletin: IBM® Db2® is vulnerable to privilege escalation via loading libraries from an untrusted path (CVE-2019-4094).
Etiquetas