Güvenlik Açıkları

IBM Db2 Güvenlik Açıkları Veritabanı Kurulumlarını Risk Altında Bıraktı

IBM, bir önceki hafta Db2 veritabanı kurulumunda birkaç kritik güvenlik açığını kapattı. IBM Db2’deki bu güvenlik açıkları, bir saldırganın yönetici haklarıyla isteğe bağlı komut yürütmesine izin verebilen bir dizi kritik açığı içeriyordu. Firma, kullanıcıların potansiyel siber saldırılardan etkilenmemeleri için cihazlarını güncellemelerini tavsiye ediyor.

IBM DB2 Veritabanı Açıkları Düzensiz Durumda

Kısa süre önce açıklandığı gibi, IBM Db’de bulunan birkaç güvenlik açığı bir saldırganın hedef sistemi ele geçirmesine izin verebiliyor. IBM, bu zafiyetlerle ilgili olarak ayrı ayrı güvenlik uyarıları yayınladı.

Bu güvenlik açıklarından ilki, saldırganın hedef sistemde hak yükseltmesine sebep olan bir hataydı. Bu hata sebebiyle saldırgan hedef sistemde kod yürütebilecek duruma geliyordu.

“IBM Db2 db2pdcfg, saldırganın hedef sistemde rastgele kod yürütmesine izin verebilecek bir sınır denetimi hatası sebebiyle, arabellek saldırılarına karşı savunmasızdır.” açıklaması yapıldı.

İddiaya göre, Beijing Dbsec Technology Co. Ltd. şirketinden araştırmacı Eddie Zhu, IBM’e bildirilen kusurları keşfetti. Hatadan(CVE-2018-1897) yararlanabilmek için local kullanıcı erişimine sahip bir saldırganın özel olarak hazırlanan yazılımlar çalıştırarak hak yükseltebileceğini ortaya koydu.

IBM® Spectrum Scale’de ise ikinci bir zafiyet vardı. IBM’in raporuna göre,

“IBM Spectrum Scale, GPFS komut yardımcısı programın, hak ayrıcalığı olmayan kimliği doğrulanmış bir kullanıcının sistemde bulunan rastgele bir dosyayı okumak için olan erişimine izin verebilir.” şeklinde ifade edildi.

Yamalar Yayınlandı

CVE-2018-1897 zafiyetinden, IBM Db2 sürüm 9.7, 10.1, 10.5, ve 11.1 sürümlerinin etkilendiği belirtildi. Sürüm 11.1.4.4’te yama ile sorunun çözüldüğü bildirildi. Diğer sürümler için kullanıcılar sabit yamaları indirebilirler: Db2 V9.7 FP11, V10.1 FP6 ve V10.5 FP10.

IBM diğer zafiyet ile ilgili olarak,

“AIX ve Linux ile çalışan IBM Db2 V10.5 ve V11.1.1 sürümleri tüm düzeltme paketlerini edinebilir. Bu paketler yalnızca DB2® pureScale™ özelliği yüklü olan kullanıcılar için geçerlidir.” açıklamasını yaptı.

DB2 V10.5 kullanıcıları zafiyetin düzeltilmesi için IBM’deki teknik destek ile iletişime geçerek GPFS efix 4.1.1.17 efix 8’i edinebilirler. DB2 V11.1 kullanıcıları ise 11.1.4.4 yamalı versiyonu indirebilirler.

Etiketler
Daha Fazla Göster

Gökhan A.

Istanbul Bilgi Universitesi - Siber Güvenlik bölümünde eğitim almaktayım.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir