Уязвимость в СУБД IBM Db2 может привести к утечке данных и отказу в обслуживании

Специалисты компании Trustwave раскрыли подробности об уязвимости в системе управления реляционными базами данных IBM Db2, которая может использоваться для раскрытия информации или инициирования состояния отказа в обслуживании.

IBM Db2 - семейство гибридных систем управления данными, задействующих искусственный интеллект для анализа и управления структурированными и неструктурированными данными.

Уязвимость, получившая идентификатор CVE-2020-4414, заключается в том, что разработчики не реализовали меры защиты в отношении разделяемой памяти, используемой функцией трассировки Db2. В результате локальный пользователь может получить права чтения/записи в области памяти, что позволит получить доступ к конфиденциальной информации, а также предоставит возможность изменить работу подсистемы трассировки и вызвать отказ в обслуживании базы данных.

По словам специалистов, уязвимость возможно проэекслуатировать удаленно с помощью вредоносного ПО.

«Процесс с низкими привилегиями (т.е. вредоносная программа), запущенная на том же устройстве, что и база данных Db2, может модифицировать трассировщик и перехватить конфиденциальные данные, которые в дальнейшем могут использоваться в последующих атаках», - пояснили исследователи.

Для эксплуатации уязвимости атакующему потребуется отправить специально сформированный запрос функции трассировки.

Проблема затрагивает выпуски IBM Db2 V9.7, V10.1, V10.5, V11.1 и V11.5 для всех платформ. IBM выпустила патч для данной уязвимости в июне нынешнего года.