,
IBM Db2 Big SQL sur Cloud Pak for Data intègre une variante du serveur de base de données IBM Db2 qui s'exécute en mode MPP. Pour les fonctionnalités MPP telles que la montée en charge, le serveur utilise en interne le protocole Secure Shell (SSH) pour la communication entre les modules. Le protocole SSH n'est pas exposé aux utilisateurs ou processus externes. Db2 Big SQL utilise des packages OpenSSH pour SSH. OpenSSH est vulnérable à la vulnérabilité CVE-2024-6387, qui peut permettre à un attaquant distant d'exécuter du code arbitraire en tant qu'utilisateur privilégié sur le système à l'aide d'une requête spécialement conçue.
RISQUES
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Injection de code indirecte à distance (XSS)
- Élévation de privilèges
SYSTÈMES AFFECTÉS
- Db2 Big SQL versions antérieures à 7.8
- Db2 versions antérieures à 5.1
- Db2 warehouse versions antérieures à 5.1
SOLUTIONS
- Créez une nouvelle section dans le configmap db2u-release
- Mettre à jour les ressources personnalisées db2ucluster des instances Big SQL
Source : CERT-FR
