IBM Db2 versies 10.5, 11.1, 11.5 en 12.1 zijn kwetsbaar voor een ‘denial of service’-aanval. Deze kwetsbaarheid stelt kwaadwillenden in staat om de server te laten crashen door gebruik te maken van een speciaal opgestelde query, waardoor de beschikbaarheid van de database wordt aangetast.
Overzicht
Bij deze kwetsbaarheid heeft de aanvaller lage privileges nodig en kan via het netwerk aanvallen uitvoeren zonder interactie van de gebruiker. Deze omstandigheden maken het een serieuze bedreiging voor organisaties die IBM Db2 draaien in hun infrastructuur. De gevoeligheid is geïdentificeerd als een stack-gebaseerde buffer overflow (CWE-121).
Aanbevelingen
IBM adviseert klanten om de speciale builds met tussentijdse fixes te downloaden via Fix Central. Voer de volgende stappen uit om uw Db2-installatie te beveiligen:
- Voor versie 10.5 FP11: Raadpleeg Fix Central voor een speciale build voor uw platform.
- Voor versie 11.1.4 FP7: Download de speciale build voor uw platform.
- Voor versie 11.5.9 en 12.1: Neem de nieuwste speciale build die beschikbaar is.
Na 31 december 2025 zullen er geen beveiligingsupdates meer zijn voor versies 11.1 en 10.5. Overweeg te upgraden naar een nieuwere versie om beveiligingsondersteuning te behouden.
Bronnen
- IBM Support Advisory
- Special Build voor v11.5.9
- Special Build voor v12.1.1
- Special Build voor v12.1.2
Vraag en Antwoord
Wat is CVE-2024-51473?
Een veiligheidslek in IBM Db2 dat kan leiden tot een ‘denial of service’ als gevolg van een stack-gebaseerde buffer overflow.
Welke systemen zijn kwetsbaar voor CVE-2024-51473?
IBM Db2 voor Linux, UNIX en Windows met versies 10.5.0.0 t/m 10.5.0.11, 11.1.0 t/m 11.1.4.7, 11.5.0 t/m 11.5.9 en 12.1.0 t/m 12.1.2.
Bestaat er al een patch of beveiligingsupdate?
Ja, er zijn speciale builds beschikbaar voor de verschillende versies van Db2 om deze kwetsbaarheid aan te pakken.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan de server laten crashen, wat kan leiden tot een onderbreking van de diensten of systemen die afhankelijk zijn van Db2.
