2021-1374: IBM Db2: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-06-24 13:04): Neues Advisory
Version 2 (2021-06-25 17:33): Der Hersteller informiert über zwei weitere Schwachstellen, die ebenfalls durch spezielle Kompilationen basierend auf aktuellen Fix Packs in den IBM Db2 Versionen V9.7 FP11, V10.1 FP6, V10.5 FP11, V11.1 FP6 sowie für IBM Db2 Version 11.5 mit der Version 11.5.6 behoben werden. Die Schwachstellen können von einem Angreifer aus der Ferne für verschiedene Denial-of-Service (DoS)-Angriffe ausgenutzt werden. Im Fall von CVE-2021-29777 benötigt der Angreifer für einen erfolgreichen Angriff die Berechtigung, Tabellen löschen zu können.

Betroffene Software

Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer, der in einem Fall über niedrige Privilegien verfügen muss, kann zwei Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren und Informationen auszuspähen. Zudem kann ein Angreifer eine weitere Schwachstelle lokal ausnutzen, um Dateien zu manipulieren.

IBM informiert über die Schwachstelle CVE-2021-20579 in IBM Db2 in den Versionen 9.7, 10.1, 10.5, 11.1 und 11.5 sowie die Schwachstellen CVE-2020-4885 und CVE-2020-4945 in der Version 11.5 für Linux- und Unix-Systeme und stellt spezielle Kompilationen basierend auf aktuellen Fix Packs in den Versionen V9.7 FP11, V10.1 FP6, V10.5 FP11 und V11.1 FP6 als vorübergehende Sicherheitsupdates zu deren Behebung bereit. Für IBM Db2 in Version 11.5 steht die Version 11.5.6 zur Verfügung. Der Hersteller arbeitet an weiteren Fix Packs, welche diese Schwachstelle beheben.

Schwachstellen:

CVE-2020-4885

Schwachstelle in IBM Db2 ermöglicht Manipulation von Dateien

CVE-2020-4945

Schwachstelle in IBM Db2 ermöglicht Manipulation von Dateien

CVE-2021-20579

Schwachstelle in IBM Db2 ermöglicht Ausspähen von Informationen

CVE-2021-29703

Schwachstelle in IBM Db2 ermöglicht Denial-of-Service-Angriff

CVE-2021-29777