Sicherheitspatches: Root-Attacken auf IBM Db2 möglich

Angreifer können Computer mit IBM Db2 attackieren, sich im schlimmsten Fall Root-Rechte verschaffen und Systeme im Anschluss kompromittieren. Sicherheitspatches lösen dieses Sicherheitsproblem und einige weitere. Bislang gibt es keine Berichte, dass Angreifer die Lücken bereits ausnutzen.

Patches verfügbar

Das Datenbankmanagementsystem ist insgesamt über 17 Softwareschwachstellen angreifbar. Zwei Lücken (CVE-2025-36384, CVE-2025-36184) sind mit dem Bedrohungsgrad „hoch“ eingestuft. Im ersten Fall können sich Angreifer mit Dateisystemzugriff höhere Rechte verschaffen. Im zweiten Fall ist das sogar bis zum Root-Nutzer möglich. In so einer Position ist davon auszugehen, dass Angreifer die volle Kontrolle über Systeme erlangen.

In diesen Fällen schaffen die Sicherheitsupdates Special Build #66394 für IBM Db2 11.5.9, Special Build #71609 für 12.1.3 und Special Build für 12.1.2 Abhilfe. IBMs Entwickler weisen darauf hin, dass davon wahrscheinlich auch Versionen bedroht sind, die sich nicht mehr im Support befinden. Diese Ausgaben bekommen keine Sicherheitsupdates mehr, sie bleiben deshalb verwundbar. Hier müssen Admins auf eine noch unterstützte Version upgraden.

Weitere Gefahren

Die verbleibenden Lücken sind mit „mittel“ eingestuft. An diesen Stellen können Angreifer etwa mit manipulierten Anfragen ansetzen, um DoS-Zustände auszulösen. Weitere Informationen zu den Lücken und Sicherheitsupdates finden sich unterhalb dieser Meldung in den verlinkten Warnmeldungen.

Erst kürzlich haben die Entwickler eine kritische Lücke in IBM Db2 Big SQL geschlossen.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)