Se
ha confirmado
una vulnerabilidad en IBM DB2 (el
popular gestor de base de datos de IBM), que bajo determinadas condiciones podría permitir a un atacante sin
autenticar evitar los controles de acceso a una tabla.
El problema, con CVE-2017-1150, puede permitir a un usuario adquirir privilegios
incorrectamente en una tabla si ha sido creada con el mismo nombre que una
tabla renombrada anteriormente. Durante una RENAME TABLE, un usuario mantiene
privilegios en la tabla renombrada. Sin embargo, si se crea una nueva tabla con
el nombre antiguo, el usuario también puede mantener incorrectamente sus
privilegios en esa nueva tabla. El problema se debe a que la operación de
cambio de nombre no actualiza la caché de autorización del usuario. El error se
borrará cuando se desactive la base de datos o cuando se reinicie la instancia
de DB2.
El problema afecta a versiones 10.1,
10.5 y 11.1 sobre sistemas Linux, HP, AIX, Solaris y Windows de los siguientes
productos:
IBM DB2 Express Edition
IBM DB2 Workgroup Server Edition
IBM DB2 Enterprise Server Edition
IBM DB2 Advanced Enterprise Server Edition
IBM DB2 Advanced Workgroup Server Edition
IBM DB2 Direct Advanced Edition
IBM DB2 Direct Standard Edition
IBM DB2 Connect Application Server Edition
IBM DB2 Connect Enterprise Edition
IBM DB2 Connect Unlimited Edition for System i
IBM DB2 Connect Unlimited Edition for System z
IBM ha publicado la versión 10.1
FP6 que soluciona el problema disponible desde Fix Central.
También ha publicado los
siguientes parches:
Para 10.1
Para 10.5
Para 11.1.1
Más información:
Security Bulletin: Information Disclosure
vulnerability affects IBM® DB2® LUW (CVE-2017-1150)
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario