Kwetsbaarheden verholpen in IBM DB2

IBM heeft meerdere kwetsbaarheden verholpen in IBM DB2.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in IBM DB2
Advisory ID     : NCSC-2016-0858
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2016-2984, CVE-2016-2985
                  (http://cve.mitre.org/cve/)
Schade          : medium
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20160926
Toepassing      : IBM DB2
Versie(s)       : 10.1
                  11.1
Platform(s)     : IBM AIX
                  Linux 

Samenvatting
   IBM heeft meerdere kwetsbaarheden verholpen in IBM DB2.

Gevolgen
   Een lokale kwaadwillende kan de kwetsbaarheden mogelijk misbruiken
   om willekeurige code uit te voeren onder root rechten.

Beschrijving
   - CVE-2016-2984
   Een kwetsbaarheid in IBM Spectrum Scale en IBM GPFS kan een lokale
   kwaadwillende ertoe in staat stellen om willekeurige commando's uit
   te voeren als root door bepaalde commandline-parameters mee te geven
   aan setuid-programma's.
   
   - CVE-2016-2985
   Door een kwetsbaarheid in IBM Spectrum Scale en IBM GPFS kan een
   lokale kwaadwillende willekeurige commando's uitvoeren als root door
   het instellen van bepaalde omgevingsvariabelen die worden verwerkt
   door setuid-programma's.
   
   Beide kwetsbaarheden komen alleen voor wanneer de IBM pureScale
   Feature is geïnstalleerd. 

Mogelijke oplossingen
   IBM heeft patches uitgebracht die de kwetsbaarheden verhelpen voor
   DB2. Zie de onderstaande link voor meer informatie:
   
   http://www-01.ibm.com/support/docview.wss?uid=swg21989842

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=RiyC
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig