• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Múltiples vulnerabilidades en productos de IBM

08/11/2018

=============================================
CVE-2018-1802, CVE-2018-1799, CVE-2018-1780, CVE-2018-1781 y CVE-2018-1834
Fecha de lanzamiento: 08/11/2018
Gravedad: Alta
=============================================

VULNERABILIDAD

IBM ha detectado 3 vulnerabilidades de severidad alta, dos de tipo escalada de privilegios en IBM Db2 y una de uso de contraseñas embebidas en IBM Data Science Experience Local.

INFORMACIÓN

IBM International Business Machines Corporation es una reconocida empresa multinacional estadounidense de tecnología y consultoría. IBM fabrica y comercializa hardware y software para computadoras, y ofrece servicios de infraestructura, alojamiento de Internet, y consultoría en una amplia gama de áreas relacionadas con la informática, desde computadoras centrales hasta nanotecnología.

DESCRIPCIÓN

- Los binarios de IBM DB2 para Linux, UNIX y Windows (incluye DB2 Connect Server) cargan bibliotecas compartidas desde una ruta no confiable, lo que potencialmente da a los usuarios con privilegios reducidos acceso completo a la cuenta de instancia de DB2 al cargar una biblioteca compartida maliciosa.
- La contraseña para el certificado de la clave privada con el que se accede al servidor de IBM Data Science Experience Local Hadoop Integration está embebida.
- Db2 es vulnerable a una escalada de privilegios explotando múltiples ataques a enlaces simbólicos, lo que podría permitir al propietario de la instancia Db2 o al propietario del DAS obtener acceso de root. IBM DB2 podría permitir a un usuario local sin privilegios sobrescribir archivos en el sistema, lo que podría causar daños a la base de datos.

SISTEMAS AFECTADOS

- Todos los niveles de fix pack de las ediciones IBM Db2 versiones 9.7, 10.1, 10.5 y 11.1 en todas las plataformas, exceptuando Windows que no se ve afectada.
- IBM Data Science Experience Local versiones 1.1.0, 1.1.1, 1.1.2, 1.1.3 y 1.2.0

SOLUCIÓN

IBM recomienda actualizar los productos afectados desde su centro de descargas: https://www-945.ibm.com/support/fixcentral

FUENTE

https://www.incibe-cert.es/