Publicada una vulnerabilidad en IBM DB2 y DB2 Connect, que podría permitir a un atacante evitar determinadas restricciones de seguridad. Se ven afectadas las versiones de IBM DB2 9.7, 9.8, 10.1 y 10.5.

El problema (con CVE-2013-4033 y CVSS de 6,5) podría llegar a permitir a usuarios autenticados conseguir privilegios para realizar consultas SELECT, INSERT, UPDATE o DELETE.

Para explotar con éxito el problema se requiere autoridad EXPLAIN, SQLADM o DBADM. 

 
IBM publicado la actualización necesaria para corregir el problema en DB2 y DB2 Connect versiones V10.5 FP1 disponible desde: 
http://www-01.ibm.com/support/docview.wss?uid=swg27007053
 
Para DB2 y DB2 Connect 9.7, 9.8 y V10.1, las actualziaciones estarán disponibles en futuros Fix Packs. 
 
IBM ha publicado la siguiente consulta que muestra los usuarios que podrían aprovechar esta vulnerabilidad (con autoridad EXPLAIN / SQLADM / DBADM pero no DATAACCESS). 
SELECT SUBSTR(grantor,1,10) grantor, SUBSTR(grantee,1,20) grantee, granteetype, explainauth, dbadmauth, sqladmauth, dataaccessauth
FROM SYSCAT.DBAUTH
WHERE
dataaccessauth = ‘N’ and
(explainauth = ‘Y’ or dbadmauth = ‘Y’ or sqladmauth = ‘Y’) 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/09/vulnerabilidad-en-ibm-db2.html#comments
 
Más información:
 
Security Bulletin: Unauthorized Access to Table Vulnerability in DB2 (CVE-2013-4033)
http://www-01.ibm.com/support/docview.wss?uid=swg21646809

Fuente:
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar