idNSA.id - IBM mengatasi kerentanan shared memory dalam solusi manajemen data Db2 yang dapat mengarah pada pengungkapan informasi.
IBM memperbaiki kerentanan shared memory dalam produk manajemen data Db2 yang dapat dieksploitasi oleh pengguna lokal yang jahat untuk mengakses data sensitif.
Kerentanan yang dilacak sebagai CVE-2020-4414 ditemukan oleh peneliti dari Trustwave, hal ini disebabkan oleh kurangnya perlindungan memori eksplisit untuk shared memory yang digunakan oleh fasilitas pelacakan Db2.
Pengguna lokal yang bermaksud buruk dapat memanfaatkan masalah tersebut untuk mendapatkan akses baca dan tulis ke memori tersebut, yang berpotensi mengakses data sensitif. Bug ini juga dapat dimanfaatkan untuk mengubah fungsionalitas subsistem pelacakan, yang memicu kondisi penolakan layanan dalam database.
“Di Windows, luncurkan Process Explorer atau alat serupa lainnya untuk memeriksa pegangan terbuka dari proses utama Db2. Seperti yang Anda lihat di bawah, sama sekali tidak ada izin yang ditetapkan ke memori bersama sehingga siapa pun dapat membaca dan menulis ke sana. ” membaca posting yang diterbitkan oleh Trustwave. “Pada akhirnya, ini berarti bahwa pengguna lokal yang tidak memiliki hak istimewa dapat menyalahgunakan ini untuk menyebabkan penolakan kondisi layanan hanya dengan menulis data yang salah di bagian memori itu.”
Penyerang dapat mengeksploitasi kekurangan tersebut dengan mengirimkan permintaan yang dibuat khusus ke penginstalan yang rentan.
Kerentanan tersebut memengaruhi IBM Db2 untuk Linux, UNIX, dan Windows (termasuk Db2 Connect Server), versi 9.7, 10.1, 10.5, 11.1, dan 11.5.
IBM mengatasi masalah ini dengan merilis patch pada 30 Juni.
Perusahaan harus menerapkan patch keamanan ke penginstalan IBM Db2 mereka sesegera mungkin.
Peneliti Trustwave pada bulan Juni menemukan kerentanan serupa di klien Cisco Webex Meetings untuk Windows, dilacak sebagai CVE-2020-3347 , yang dapat memungkinkan penyerang lokal yang diautentikasi untuk mendapatkan akses ke informasi sensitif.
Sumber Artikel: SecurityAffairs, Foto: MobileSyrups
