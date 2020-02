Das Datenbanksystem Db2 von IBM ist über vier Sicherheitslücken angreifbar. Auch wenn davon keine als kritisch eingestuft ist, könnten Angreifer unter Umständen Schadcode mit Root-Rechten ausführen. Admins sollten die vorläufigen Fixes zeitnah installieren.

Um die Schwachstellen (CVE-2020-4135, CVE-2020-4200, CVE-2020-4204, CVE-2020-4230) zu schließen, müssen Admins Special Builds mit vorläufigen Fixes herunterladen und installieren. Sicherheitspatches sind in der Mache. Mehr Informationen dazu findet man in denen am Ende dieser Meldung verlinkten Warnmeldungen.

Betroffen sind alle Fix-Pack-Level von IBM Db2 und Db2 Connect Server V10.5, V11.1 und 11.5 für alle Plattformen (Linux, Unix, Windows). Die reparierten Ausgaben von DB2 V9.7 und V10.1 für Windows 32 Bit und 64 Bit sollen im März folgen.

Auswirkungen der Schwachstellen

Am gefährlichsten gilt die Lücke mit der Kennung CVE-2020-4204. Setzt ein lokaler Angreifer erfolgreich an der Schwachstelle an, ist ein Speicherfehler (buffer overflow) die Folge und die Ausführung von Schadcode mit Root-Rechten rückt in greifbare Nähe. Das Angriffsrisiko gilt als "hoch".

Das erfolgreiche Ausnutzen einer weiteren Sicherheitslücke kann dazu führen, dass Angreifer am Ende mit erhöhten Nutzerrechten dastehen. Diese Lücke ist mit dem Bedrohungsgrad "mittel" eingestuft. Auch DoS-Attacken sind IBM zufolge vorstellbar.

(des)