Eine Schwachstelle in IBMs Datenbank DB2 Universal Database ermöglicht Anwendern, ihre Zugriffsprivilegien zu erhöhen. Nach Angaben von IBM genügt es, dass der Angreifer SELECT-Rechte auf die Datenbank hat, um durch das Ausnutzen der Lücke trotzdem INSERT-, UPDATE- und DELETE-Befehle auf bestimmte Tabellen durchzuführen. In der Folge ist er in der Lage, Daten zu manipulieren und zu löschen. Ursache des Problems ist die fehlerhafte Überprüfung der Autorisierung.
Betroffen sind die Linux-, Unix- und Windows-Versionen 8.1.4 bis einschließlich 8.1.9 sowie 8.2.0 bis einschließlich 8.2.2 in der Enterprise Server Edition, dem Workgroup Server, dem Express Server sowie der Personal Edition. Ein Patch beseitigt das Problem. Alternativ schlägt der Hersteller vor, nicht vertrauenswürdigen Anwendern und Applikationen die SELECT-Rechte zu entziehen.
Quelle und Links :
http://www.heise.de/newsticker/meldung/61072
