Im einem aktuellen Security Advisory meldet Secunia eine “moderat kritische” Schwäche in IBMs Datenbank. Durch die so mögliche Umgehung von Sicherheitsschranken könnten unternehmenskritische Daten von Dritten abgegriffen werden.
Das Leck ist allerdings nur über das lokale Netzwerk auszunutzen. Mit den entsprechenden Sicherheitseinstellungen können jedoch somit auch externe Mitarbeiter über diesen Fehler auf die Datenbank zugreifen.
Betroffen sind IBM DB2 in den Versionen 9.x und 10.x für Linux, Unix und Windows. Ein Fehler in der Prozedur SQLJ.DB2_INSTALL_JAR erlaube es, JAR-Dateien auszutauschen und so Schadcode einzuschmuggeln und ein Leck in de Java-Speicher-Infrastrukturfunktion könne missbraucht werden, einen Pufferüberlauf zu generieren und so das System anzugreifen.
Und schließlich sorge eine Schwachstelle in den Prozeduren GET_WRAP_CFG_C und GET_WRAP_CFG_C2, dafür, dass die Datenbank auch unberechtigten XML-Daten ausgibt.
Der Security-Anbieter habe bereits teilweise Fehlerbehebungen für Unternehmenskunden parat, meldet Secunia. Auch IBM selbst stellt zumindest schon Hinweise für die Fehlerbehebung bereit. Ein Patch für das Leck liegt jedoch noch nicht vor.
Von Brisanz ist das Thema trotz “moderat kritischer” Einstufung deshalb, weil die IBM-Datenbank in zahlreichen großen Unternehmen und in öffentlichen Ämtern in den USA zum Einsatz kommt und häufig Data-Warehousing-Anwendungen als Datenquelle dient.
[mit Material von Manfred Kohlen, ITespresso.de]
Der digitale Zwilling einer Organisation bildet reale Geschäftsprozesse virtuell ab und schafft die Grundlage für…
Bestehenden Systeme im Kundenservice stießen an ihre Grenzen. Klassische Chatbots konnten einfache Fragen beantworten.
Kundennähe entsteht nicht per Knopfdruck – sie verlangt Haltung, Aufmerksamkeit und eine klare Strategie. Gerade…
KI wird zunehmend zum Ziel von Cyberangriffen durch Prompt Injections, warnt Christian Nern von KPMG.
Oracle Cloud Isolated Regions sind sichere, vom Internet getrennte Cloud-Lösungen.
Nur Vier Prozent der Unternehmen verfügen über eine definierte Strategie für das Quantencomputing.