IBM tung ra bản cập nhật cho nền tảng Db2 để bảo vệ dữ liệu người dùng khỏi hai lỗ hổng nghiêm trọng. Cả hai lỗ hổng đều được chấm 9.8/10 điểm theo thang CVSS, mỗi lỗ hổng đều có thể cho phép tin tặc tấn công thực thi mã tùy ý trên hệ thống do tràn số nguyên. Vấn đề này nằm trong hàm XML_GetBuffer (CVE-2022-23852) và doProlog (CVE-2022-23990) của Expat.
Theo NetApp: “Khi khai thác thành công, tin tặc không những có thể đánh cắp thông tin nhạy cảm, sửa đổi dữ liệu hoặc thậm chí tấn công từ chối dịch vụ (DoS)”
Các nhà bảo trì của Expat đã vá lỗ hổng liên quan trong phiên bản 2.4.4 được tung ra thị trường vào cuối tháng 1 năm nay.
Các lỗ hổng này ảnh hưởng đến tất cả phiên bản Db 2 9.7.x, 10.1.x, 10.5.x và 11.1.x.
Trong bản tin bảo mật IBM ngày 20/4, họ khuyến nghị người dùng cập nhật các bản vá tạm thời tương ứng ngay khi có thể để giảm thiểu rủi ro.
Theo https://portswigger.net/
