IBM Db2 voor Linux versies 12.1.0, 12.1.1 en 12.1.2 bevatten een kwetsbaarheid (CVE-2025-36010) die een ongeauthenticeerde gebruiker in staat kan stellen een denial of service te veroorzaken. Dit gebeurt doordat uitvoerbare segmenten op elkaar wachten om een noodzakelijke lock vrij te geven. Deze kwetsbaarheid kan via het netwerk worden misbruikt door aanvallers met lage privileges, zonder dat er gebruikersinteractie nodig is. Dit probleem kan leiden tot hoge beschikbaarheidsproblemen.
Overzicht
Versies IBM Db2 12.1.0, 12.1.1, en 12.1.2 zijn getroffen door een deadlock-kwetsbaarheid (CWE-833). De aanvalsvector is het netwerk en de complexiteit van een aanval is laag. De impact op beschikbaarheid is hoog, maar er is geen impact op vertrouwelijkheid of integriteit.
Aanbevelingen
- Klanten die kwetsbare versies van IBM Db2 draaien (12.1.0, 12.1.1, 12.1.2) wordt aangeraden speciale builds met interim-fixes te downloaden van IBM’s Fix Central.
- Bezoek Special Build #62100 of later voor V12.1.1 en de nieuwste voor 12.1.2.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-36010?
Het betreft een kwetsbaarheid in IBM Db2 versie 12.1.0, 12.1.1, en 12.1.2 die een denial of service kan veroorzaken door deadlock situaties.
Welke systemen zijn kwetsbaar voor CVE-2025-36010?
Alle IBM Db2 voor Linux systemen met de versies 12.1.0, 12.1.1, en 12.1.2.
Bestaat er al een patch of beveiligingsupdate?
Ja, IBM heeft speciale builds met interim-fixes vrijgegeven die te vinden zijn op IBM’s Fix Central.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een denial of service veroorzaken, wat resulteert in een hoge impact op de beschikbaarheid van het systeem.
