2021-2666: IBM Db2, Log4j: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-22 13:23)

Neues Advisory

Version 2 (2021-12-27 09:27)

IBM veröffentlicht einen weiteren Sicherheitshinweis, in dem bestätigt wird, dass die Schwachstelle CVE-2021-4104 die ECM (Text Search Server) Funktionalität in IBM DB2 in den Versionszweigen 10.5, 11.1 und 11.5 betrifft. Es stehen jeweils Special Builds zur Verfügung, welche die Interim Fixes zur Behebung der Schwachstelle beinhalten. Voraussetzung ist jeweils ein bestimmter Fix Pack bzw. Versions-Level. Der Hersteller informiert zusätzlich darüber, dass die DB2 Federation-Funktionalität Apache Log4j einsetzt und daher im Versionszweig 11.5 von den Schwachstellen CVE-2021-45046 und CVE-2021-45105 betroffen ist (Schwachstellen hier hinzugefügt). Auch hier stehen Special Builds zur Behebung der Schwachstellen bereit. Auch hierfür wird ein bestimmter bestimmter Versions-Level vorausgesetzt.

Version 3 (2021-12-28 09:04)

Der Hersteller hat IBM Security Bulletin 6528672 aktualisiert und einen Special Build für Version 11.5.6 für Windows 64-bit hinzugefügt.

Version 4 (2021-12-30 09:22)

Der Hersteller hat die IBM Security Bulletins 6528672 und 6528678 aktualisiert und Special Builds für Version 11.1.4.6 für Windows 32-bit und Solaris 64-bit hinzugefügt.

Version 5 (2022-01-03 09:53)

Der Hersteller hat IBM Security Bulletin 6528678 aktualisiert und Special Builds für Version 10.5 für AIX 64-bit, Linux 32-bit und Linux 64-bit hinzugefügt.

Version 6 (2022-02-01 11:20)

Der Hersteller hat IBM Security Bulletin 6528678 aktualisiert und Special Builds für Version 10.5 für Windows 64-bit und Windows 32-bit hinzugefügt.

Version 7 (2022-11-14 10:06)

Der Hersteller hat IBM Security Bulletins 6526462 und 6528672 aktualisiert und stellt nun IBM Db2 in der Version 11.5.8 zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Cloud
IBM
Linux
Microsoft
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle CVE-2021-4104 sind erweiterte Privilegien erforderlich. Die erfolgreiche Ausnutzung der Schwachstelle CVE-2021-44228 kann Einfluss auf andere Komponenten haben.

IBM gibt an, dass IBM Db2 Version 11.5 nur von den Schwachstellen betroffen ist, wenn die Funktionen DVM JDBC Wrapper Driver, NoSQL Wrapper Driver (for Hadoop) oder Blockchain Wrapper Driver (for Hyperledger Fabric, Linux 64-bit, x86-64 only) konfiguriert sind und stellt spezielle Builds für die neuesten Fixpack-Level in den Versionen V11.5.6 und V11.5.7 als vorübergehende Sicherheitsupdates zu deren Behebung bereit. Für IBM Db2 On Openshift steht ebenfalls ein Sicherheitsupdate in Version v11.5.7.0 zur Verfügung. Weitere Hinweise zur Mitigation sind in den jeweiligen Security Bulletins beschrieben.

Schwachstellen:

CVE-2021-4104

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-44228

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45046

Schwachstelle in Apache Log4j ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-45105

Schwachstelle in Apache Log4j ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.