安全研究人员发现IBM DB2数据库有一个共享内存漏洞,可导致资料被人读取或发动拒绝服务(Denial of Service,DoS)攻击,呼吁企业应尽快修补。
TrustWave研究人员Martin Rakhmanov 6月披露思科WebEx Meetings Windows版用户端一项漏洞,让黑客读取内存而取得验证用的符记、用户名称,进而访问视频会议内容及密码。而这问题也影响IBM DB2,特别是在trace工具(trace facility)上。
IBM DB2是一组混合式资料管理产品,可用来分析和管理企业的结构和非结构化资料。DB2的trace工具主要是提供DB2技术支持人员诊断数据库之用,可记录、关注DB2作业信息,包括函数及相关参数值,并将这些信息格式化成可读取的文件形式。
编号CVE-2020-4414的漏洞,是指该平台忽略在IBM DB2 trace工具所用的共享内存加入明示的内存防护,这使得本机用户得以读写内存区资料。攻击者只要发送恶意调用,就能开采这项漏洞而访问敏感资料,或是变更trace子系统的运行,导致DoS攻击。
研究人员举例,在Windows上,启动Process Explorer或其他类似工具就能打开DB2主要行程(process),写个简单console app即可按名称找到并打开内存区,倒出开头的若干字节,完全无需取得许可。他还示范了只要在内存区写入不正确的资料,即可引发DoS攻击。
本漏洞影响Unix、Linux及Windows版DB2(包括DB2 Connect Server)9.7、10.1、10.5、11.1和11.5版。不过大型主机及z/OS版DB2则不受影响。
在其通报下,IBM已在6月30日发布安全更新,修补CVE-2020-4414及其他安全漏洞。