DB2 mit pikantem Sicherheitsleck

Im einem aktuellen Security Advisory meldet Secunia eine “moderat kritische” Schwäche in IBMs Datenbank. Durch die so mögliche Umgehung von Sicherheitsschranken könnten unternehmenskritische Daten von Dritten abgegriffen werden.

Das Leck ist allerdings nur über das lokale Netzwerk auszunutzen. Mit den entsprechenden Sicherheitseinstellungen können jedoch somit auch externe Mitarbeiter über diesen Fehler auf die Datenbank zugreifen.

Betroffen sind IBM DB2 in den Versionen 9.x und 10.x für Linux, Unix und Windows. Ein Fehler in der Prozedur SQLJ.DB2_INSTALL_JAR  erlaube es, JAR-Dateien auszutauschen und so Schadcode einzuschmuggeln und ein Leck in de Java-Speicher-Infrastrukturfunktion könne missbraucht werden, einen Pufferüberlauf zu generieren und so das System anzugreifen.

Und schließlich sorge eine Schwachstelle in den Prozeduren GET_WRAP_CFG_C und GET_WRAP_CFG_C2, dafür, dass die Datenbank auch unberechtigten XML-Daten ausgibt.

Der Security-Anbieter habe bereits teilweise Fehlerbehebungen für Unternehmenskunden parat, meldet Secunia. Auch IBM selbst stellt zumindest schon Hinweise für die Fehlerbehebung bereit. Ein Patch für das Leck liegt jedoch noch nicht vor.

Von Brisanz ist das Thema trotz “moderat kritischer” Einstufung deshalb, weil die IBM-Datenbank in zahlreichen großen Unternehmen und in öffentlichen Ämtern in den USA zum Einsatz kommt und häufig Data-Warehousing-Anwendungen als Datenquelle dient.

[mit Material von Manfred Kohlen, ITespresso.de]

Redaktion

Recent Posts

Zukunft des digitalen Zwillings: Process Mining und KIZukunft des digitalen Zwillings: Process Mining und KI

Zukunft des digitalen Zwillings: Process Mining und KI

Der digitale Zwilling einer Organisation bildet reale Geschäftsprozesse virtuell ab und schafft die Grundlage für…

22 Stunden ago
ING setzt bei Kundenservice auf conversational und generative KIING setzt bei Kundenservice auf conversational und generative KI

ING setzt bei Kundenservice auf conversational und generative KI

Bestehenden Systeme im Kundenservice stießen an ihre Grenzen. Klassische Chatbots konnten einfache Fragen beantworten.

2 Tagen ago
Wie EPS klassische Industrie neu denkt – und Marketing zur echten Führungsdisziplin machtWie EPS klassische Industrie neu denkt – und Marketing zur echten Führungsdisziplin macht

Wie EPS klassische Industrie neu denkt – und Marketing zur echten Führungsdisziplin macht

Kundennähe entsteht nicht per Knopfdruck – sie verlangt Haltung, Aufmerksamkeit und eine klare Strategie. Gerade…

2 Tagen ago
Enkeltrick auf Milliardenniveau: KI-Sabotage im FinanzsektorEnkeltrick auf Milliardenniveau: KI-Sabotage im Finanzsektor

Enkeltrick auf Milliardenniveau: KI-Sabotage im Finanzsektor

KI wird zunehmend zum Ziel von Cyberangriffen durch Prompt Injections, warnt Christian Nern von KPMG.

2 Tagen ago
Isolierte Cloud für Regierungen und VerteidigungsorganisationenIsolierte Cloud für Regierungen und Verteidigungsorganisationen

Isolierte Cloud für Regierungen und Verteidigungsorganisationen

Oracle Cloud Isolated Regions sind sichere, vom Internet getrennte Cloud-Lösungen.

2 Tagen ago
Entwicklung des Quantencomputers stellt Risiko für Cybersicherheit darEntwicklung des Quantencomputers stellt Risiko für Cybersicherheit dar

Entwicklung des Quantencomputers stellt Risiko für Cybersicherheit dar

Nur Vier Prozent der Unternehmen verfügen über eine definierte Strategie für das Quantencomputing.

2 Tagen ago