Sicherheitsupdate: Kritische Client-Handshake-Lücke bedroht IBM Db2

IBMs Entwickler haben im relationalen Datenbankmanagementsystem Db2 drei Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme nach erfolgreichen Attacken vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Von den folgenden Sicherheitslücken sind die Db2 Server Editions 11.5.0 bis 11.5.9 und 12.1.0 bis 12.1.4 bedroht. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 11.5.9 Build #84653 und 12.1.4 Build #86230 gelöst zu haben.

Drei Gefahren

Einer Warnmeldung zufolge gilt eine „kritische“ Schadcode-Lücke (CVE-2026-10109) als am gefährlichsten. Hier kommt es beim Aushandeln von Verbindungsparametern (Pre-Auth) mit einem Client im Kontext des Distributed-Relational-Database-Architecture-Protokolls (DRDA) zu Fehlern. Dabei kann es zur Ausführung von Schadcode aus der Ferne kommen.

In einem weiteren Fall (CVE-2026-11906 „mittel“) können Angreifer durch das Einfügen von bestimmten Elementen in von XMLTable abgeleiteten Spalten Speicherfehler auslösen, sodass es zu Abstürzen kommt. Über die dritte Schwachstelle (CVE-2025-36372 „mittel“) können Informationen leaken.

Zuletzt haben IBMs Entwickler im Februar dieses Jahres Root-Lücken in Db2 geschlossen.

(des)