Leck in IBMs DB2-Datenbank bringt Informationen in Gefahr

Im einem aktuellen Security Advisory meldet Secunia eine “moderat kritische” Schwäche in IBMs Datenbank. Durch die so mögliche Umgehung von Sicherheitsschranken könnten unternehmenskritische Daten von Dritten abgegriffen werden.

Erste Entwarnung: Das Leck ist nur über das lokale Netzwerk auszunutzen. Die Lücke erlaubt also vor allem internen Mitarbeitern, Informationen zu stehlen. Wer allerdings in seinem Netz die Freigaberegeln zu lax einstellt und so Externe wie lokale Mitarbeiter behandelt, könnte dennoch Angriffen aus dem Internet anheimfallen.

Betroffen sind IBM DB2 in den Versionen 9.x und 10.x für Linux, Unix und Windows. Ein Fehler in der Prozedur SQLJ.DB2_INSTALL_JAR  erlaube es, JAR-Dateien auszutauschen und so Schadcode einzuschmuggeln und ein Leck in de Java-Speicher-Infrastrukturfunktion könne missbraucht werden, einen Pufferüberlauf zu generieren und so das System anzugreifen. Und schließlich erlaube eine Schwachstelle in den Prozeduren GET_WRAP_CFG_C und GET_WRAP_CFG_C2, XML-Daten ans Licht der Öffentlichkeit zu bringen.

Der Security-Anbieter habe bereits teilweise Fehlerbehebungen für seine Unternehmenskunden parat, meldet Secunia. Auch IBM selbst stellt zumindest schon Hinweise für die Fehlerbehebung bereit, wenngleich diese noch nicht ausreichen, interpretiert man die Secunia-Hinweise richtig.

Von Brisanz ist das Thema trotz “moderat kritischer” Einstufung deshalb, weil die IBM-Software in zahlreichen großen Unternehmen und in öffentlichen Ämtern in den USA zum Einsatz kommt, wo viele Großrechner-Daten in PC-Netzwerke wanderten. In kleineren Firmen werden inzwischen meist andere Datenbank-Lösungen eingesetzt.