FLASH - Sicherheitslücke in IBM i DB2 - schnell mal PTF laden

[Pikachu]

Vielleicht ist bisher ein Mittelsmannangriff möglich!?

[Fuerchau]

Jedes Programm kann, wenn man die Berechtigung dazu hat, ausgetauscht werden um was anderes zu tun, als man ursprünglich geplant hat.
Dies macht man auch z.B. bei sog. Wrapperprogrammen, die in einem ERP ohne Quellen aufgerufen werden um vorher und/oder hinterher Zusatzfunktionen durchzuführen.
Wenn man die Quellen hätte, bräuchte man dies nicht, da man dort die passenden Änderungen durchführt.
Dies geht i.Ü. auch so mit Triggern, die man einfach einsetzt um Daten zu manipulieren oder zusätzliche Aktionen durchzuführen.
Dabei ist es auch legitim, Programme unter OWNER laufen zu lassen.

Manche propagierten Sicherheitslücken treten ja nur auf, wenn jemand mit hoher Berechtigung die Möglichkeit bekommt, ins System eingreifen zu können.

Deshalb möchte ich halt wissen, was mit dem PTF verhindert werden soll.

[holgerscherer]

Jedes Programm kann, wenn man die Berechtigung dazu hat, ausgetauscht werden um was anderes zu tun, als man ursprünglich geplant hat.
Deshalb möchte ich halt wissen, was mit dem PTF verhindert werden soll.

man könnte ja auch in die Tiefen der einzelnen PTF gehen und selbst nachsehen.
Wenn Du natürlich im System rumfummelst, um dem ERP auf die Beine zu helfen, ist das Dein Problem.
Oder wenn jeder User *ALLOBJ hat, oder seclvl 40 oder niedriger im Einsatz ist.
Falsch machen kann man viel. Aber in dem Fall hat die IBM einen Bock eingebaut, den jeder *USER ausnutzen könnte.