Se han confirmado dos vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM), que podrían permitir a usuarios locales sobrescribir archivos, provocar condiciones de denegación de servicio o la ejecución de código arbitrario.

El primer problema, con CVE-2017-1105, reside en un desbordamiento de búfer que podría permitir a un usuario local sobrescribir archivos DB2 o provocar condiciones de denegación de servicio. Este problema afecta a todas las ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en AIX, Linux, Solaris y HP. DB2 en Windows no se ve afectado.

Por otra parte, con CVE-2017-1297, otro desbordamiento de búfer basado en pila en el procesador de línea de comandos (Command Line Process, CLP), debido a una comprobación inadecuada de límites que podría permitir a un atacante local ejecutar código arbitrario. Afecta a todas las versiones y ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en todas las plataformas.

IBM ha publicado la versión V11.1.2 FP2 que soluciona el problema en V11.1.1 disponible desde Fix Central:

http://www-01.ibm.com/support/docview.wss?uid=swg24043789

También se han publicado parches y actualizaciones para el resto de versiones afectadas. Dada la diversidad de versiones y sistemas se recomienda consultar los boletines publicados:

http://www-01.ibm.com/support/docview.wss?uid=swg22003877

http://www-01.ibm.com/support/docview.wss?uid=swg22004878

Más información:

Security Bulletin: Buffer overflow vulnerability in IBM® DB2® LUW (CVE-2017-1105)

http://www-01.ibm.com/support/docview.wss?uid=swg22003877

Security Bulletin: IBM® DB2® LUW's Command Line Processor Contains Buffer Overflow Vulnerability (CVE-2017-1297).

http://www-01.ibm.com/support/docview.wss?uid=swg22004878

Antonio Ropero

[email protected]

Twitter: @aropero