Múltiples vulnerabilidades en Db2 de IBM

Fecha de publicación 19/02/2020

Importancia

4 - Alta

Recursos Afectados

Todos los fix pack de IBM Db2, en todas las plataformas, versiones V9.7, V10.1, V10.5, V11.1 y V11.5;
[Actualización 15/06/2020]: IBM Spectrum Protect Server, versiones 8.1.0.000 - 8.1.9.300.

Descripción

Se han publicado varias vulnerabilidades en productos Db2 de IBM que podrían permitir a un atacante denegar el servicio o ejecutar código arbitrario con privilegios de root.

Solución

Aplicar la actualización correspondiente para cada versión. Para más detalles, consultar la sección de Referencias.
[Actualización 15/06/2020]: Actualizar a IBM Spectrum Protect Server, versión 8.1.10.000.

Detalle

El envío de paquetes, especialmente diseñados, podría permitir a un atacante, no autenticado, denegar el servicio a través de un uso excesivo de memoria. Se ha asignado el identificador CVE-2020-4135 para esta vulnerabilidad.
Una vulnerabilidad de desbordamiento de búfer, causada por una comprobación de los límites inadecuada, podría permitir a un atacante local ejecutar código arbitrario en el sistema, con privilegios de root. Se ha asignado el identificador CVE-2020-4204 para esta vulnerabilidad.
[Actualización 15/06/2020]: Una vulnerabilidad en IBM DB2 para Linux, UNIX y Windows (incluido DB2 Connect Server, 11.1 y 11.5) podría permitir a un atacante local, autentificado, con permisos especiales, la escalada de privilegios, mediante la ejecución de comandos Db2 especialmente diseñados. Se ha asignado el identificador CVE-2020-4230 para esta vulnerabilidad.
[Actualización 15/06/2020]: Una vulnerabilidad en IBM DB2 para Linux, UNIX y Windows (incluido DB2 Connect Server, 10.5, 11.1 y 11.5) podría permitir a un atacante autentificado la denegación del servicio, mediante la ejecución de comandos especialmente diseñados. Se ha asignado el identificador CVE-2020-4200 para esta vulnerabilidad.