Hiba a linuxos IBM DB2-ben

A Kék Óriás közlése szerint a nemrég felmerült probléma a Linux számára készített DB2 hetes verzióját érinti. A konglomerátum már megjelentette a biztonsági hibát javító patch-et (FixPack 10a), amelyet bárki letölthet az IBM FTP site-járól.

Egyébként a sebezhetőséget a bostoni Core Security Technologies fedezte fel. A cég kutatómérnökei szerint a biztonsági rés kihasználásával a támadó képes root jogosultságokat szerezni egy DB2 adatbázis felett. Ez nagy galibát okozhat, hiszen egy ilyen, általában nem kis méretű adatbázishoz csak korlátozott hozzáférésekkel rendelkeznek, elkerülendő az esetleges véletlen (vagy szándékos) módosításokat azokon a területeken, melyekhez nincsen jogosultságuk az egyes alkalmazottaknak.

˝A hibát azért neveztük komolynak, mert lehetővé teszi akárki számára, hogy megszerezze a rendszer feletti ellenőrzést. A DB2 adatbázisokban pedig gyakran tárolnak bizalmas információkat.˝ – mondta Paul Paget, a Core Security Technologies vezérigazgatója. A támadó a fent vázoltakat egy hosszú parancs elküldésével, illetve az erre bekövetkező puffertúlcsordulás révén képes végrehajtani.