Разделы

Безопасность Администратору Пользователю Инфраструктура
|

Через «дыру» в СУБД IBM Db2 можно воровать данные из Linux и Windows

Уязвимость позволяет записывать посторонние данные и выводить информацию из клиентского ПО под Linux, Unix и Windows. Степень угрозы оценена в 5,1 балла.

Беззащитная память

Эксперты компании Trustwave выявили серьёзную уязвимость в системе управления данными IBM Db2, которая позволяет злоумышленникам производить несанкционированные действия в целевой системе.

Уязвимость связана с совместным использованием памяти; в случае успешной эксплуатации, атакующий получает возможность считывать и записывать данные в системе или вызывать отказ в обслуживании.

Проблема затрагивает версии Db2 для Linux, Unix, Windows (9.7, 10.1, 10.5, 11.1 и 11.5). Она связана в первую очередь с отсутствием защиты вокруг области разделяемой памяти, используемой утилитой трассировки Db2.

Эта утилита позволяет изолировать единицы информации посредством мониторинга отдельных выделенных параметров. Такая информация полезна для технической поддержки, однако ею могут пользоваться и злоумышленники.

ibm1600.jpg
Уязвимость в СУБД IBM Db2 позволяет записывать посторонние данные и выводить информацию из клиентского ПО под Linux, Unix и Windows

По словам Мартина Рахманова, эксперта Trustwave, обнаружившего и описавшего уязвимость в Db2, «баг» может приводить к тому, что непривилегированный локальный пользователь «может вызвать отказ в обслуживании просто записав некорректные данные» в область разделяемой памяти.

Средняя степень угрозы

В бюллетене IBM про уязвимость CVE-2020-4414 также говорится, что у злоумышленника появляется возможность вывода важной информации из целевой системы.

Дмитрий Шулинин, UserGate: Выиграли те, кто полагался на SIEM собственной разработки
Безопасность

Степень угрозы оценена в 5,1 балла, что означает средний уровень опасности.

«Уязвимость с натяжкой можно назвать уникальной и критичной, однако её эксплуатация может обойтись операторам уязвимых баз данных весьма дорого, - считает Олег Галушкин, генеральный директор компании SEC Consult Services. - Даже кратковременный сбой в крупной базе данных - это серьёзные потери. Остаётся надеяться, что большинство администраторов систем оперативно смогут установить обновления данного программного обеспечения».

IBM выпустила патч ещё 30 июня 2020 г., однако есть основания полагать, что даже к настоящему времени далеко не все пользователи Db2 установили его.

Роман Георгиев

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Больше общения и акцент на ИБ: как устроен гибридный офис

Самый распространенный, но редко вспоминаемый троян-шифровальщик научился отвлекать внимание защитного ПО

Крупный ритейл переходит на российские платформы электронной коммерции

«Дыра» в устройствах Cisco активно эксплуатируется. Компания экстренно выпускает патчи

Отказоустойчивый кластер Postgres Pro «из коробки»: как работает BiHA

Высокоопасная ошибка в GNOME чревата захватом всего Linux

MARKET.CNEWS

VDI

Подобрать тариф на аренду виртуальных рабочих мест

От 1 750 руб./месяц

Email-рассылки

Выбор сервиса для почтовых рассылок

От 0.13 руб./месяц

CRM

Подобрать CRM-систему для компании

От 1 000 руб./месяц

DBaaS

Выбрать тариф на облачную базу данных

От 0.80 руб./месяц

Техника

Обзор ноутбука HUAWEI MateBook D 16 2024: производительный малый

Самые дорогие мониторы для профессиональной работы: выбор ZOOM

Обзор смартфона HUAWEI nova 12s: стильный и функциональный

Показать еще

Наука

На каком языке думают нейросети?

«Ангара А5» и другие самые интересные космические миссии в 2024 году

Обнаружен неизвестный объект в Млечном Пути — он тяжелее самых тяжелых нейтронных звезд и легче самых легких черных дыр
Показать еще