DB2 mit pikantem Sicherheitsleck

Im einem aktuellen Security Advisory meldet Secunia eine “moderat kritische” Schwäche in IBMs Datenbank. Durch die so mögliche Umgehung von Sicherheitsschranken könnten unternehmenskritische Daten von Dritten abgegriffen werden.

Das Leck ist allerdings nur über das lokale Netzwerk auszunutzen. Mit den entsprechenden Sicherheitseinstellungen können jedoch somit auch externe Mitarbeiter über diesen Fehler auf die Datenbank zugreifen.

Betroffen sind IBM DB2 in den Versionen 9.x und 10.x für Linux, Unix und Windows. Ein Fehler in der Prozedur SQLJ.DB2_INSTALL_JAR  erlaube es, JAR-Dateien auszutauschen und so Schadcode einzuschmuggeln und ein Leck in de Java-Speicher-Infrastrukturfunktion könne missbraucht werden, einen Pufferüberlauf zu generieren und so das System anzugreifen.

Und schließlich sorge eine Schwachstelle in den Prozeduren GET_WRAP_CFG_C und GET_WRAP_CFG_C2, dafür, dass die Datenbank auch unberechtigten XML-Daten ausgibt.

Der Security-Anbieter habe bereits teilweise Fehlerbehebungen für Unternehmenskunden parat, meldet Secunia. Auch IBM selbst stellt zumindest schon Hinweise für die Fehlerbehebung bereit. Ein Patch für das Leck liegt jedoch noch nicht vor.

Von Brisanz ist das Thema trotz “moderat kritischer” Einstufung deshalb, weil die IBM-Datenbank in zahlreichen großen Unternehmen und in öffentlichen Ämtern in den USA zum Einsatz kommt und häufig Data-Warehousing-Anwendungen als Datenquelle dient.

[mit Material von Manfred Kohlen, ITespresso.de]