Root-Sicherheitslücke bedroht IBMs Datenbanksystem Db2

Angreifer können Systeme mit IBM Db2 und Business Automation Workflow attackieren und im schlimmsten Fall Root-Rechte erlangen, um PCs zu kompromittieren. Sicherheitspatches stehen zum Download bereit.

Mehrere Softwareschwachstellen

Wie aus einer Warnmeldung hervorgeht, ist Business Automation über drei mit dem Bedrohungsgrad „mittel“ eingestufte Sicherheitslücken (CVE-2025-54121, CVE-2025-50181, CVE-2025-50182) attackierbar. Sind Attacken erfolgreich, können Nutzer etwa keine neuen Verbindungen mehr zur Anwendung aufbauen. Dagegen ist die Version 24.0.0-IF007 gerüstet.

Da die Auflistung aller jüngst geschlossenen Sicherheitslücken in Db2 und Sicherheitspatches den Rahmen dieser Meldung sprengt, finden Admins weiterführende Informationen in den unterhalb dieses Beitrags verlinkten Warnmeldungen. An dieser Stelle gehen wir nur auf die am gefährlichsten eingestuften Schwachstellen ein.

So können entfernte Angreifer etwa auf eigentlich geschützte Informationen zugreifen. Für diese Lücke wurde offensichtlich noch keine CVE-Nummer vergeben. Ansatzpunkt ist die mangelnde Überprüfung von Eingaben im Kontext von Apache Commons Codec.

Bei bestimmten, nicht näher beschriebenen Konfigurationen, können lokale Angreifer Schadcode ausführen und sich anschließend zum Root-Nutzer hochstufen (CVE-2025-36186 „hoch„). In so einer Position erlangen Angreifer in der Regel die volle Kontrolle über Systeme.

Weiterhin sind noch unter anderem DoS-Attacken und unberechtigte Zugriffe auf Instanzen möglich.

Anfang November haben IBMs Entwickler InfoSphere gegen DoS-Attacken gerüstet.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)