Boletines de Vulnerabilidades |
Vulnerabilidad en el servicio db2rcmd en IBM DB2 |
|
Clasificación de la vulnerabilidad |
|
| Propiedad | Valor |
| Nivel de Confianza | Oficial |
| Impacto | Aumento de privilegios |
| Dificultad | Principiante |
| Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
| Propiedad | Valor |
| Fabricant afectat | Comercial Software |
| Software afectado | IBM DB2 |
Descripción |
|
|
Se ha descubierto una vulnerabilidad en la base de datos IBM DB2. La vulnerabilidad reside en la funcionalidad que ofrece DB2 para la ejecución remota de comandos. Esta funcionalidad es ofrecida por el servicio db2rcmd que ejecutará los comandos con privilegios mayores de los esperados cuando se utilice autenticación por pipe. |
|
Solución |
|
|
Los usuarios de Windows NT deben habilitar el modo herencia: - Ejecutar el comando "DB2SET -g DB2RCMD_LEGACY_MODE=ON" - Reiniciar el servicio deb2rcmd Actualización de software IBM DB2 Windows 2000 - DB2 Universal Database Version 7 FixPak 12 http://www.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v7fphist.d2w/report |
|
Identificadores estándar |
|
| Propiedad | Valor |
| CVE | |
| BID | |
Recursos adicionales |
|
|
DB2 Alert: APAR JR19847 http://www-306.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/newsletter.d2w/n20040603 |
|
Histórico de versiones |
||
| Versión | Comentario | Data |
| 1.0 | Aviso emitido | 2004-06-04 |