IBM Db2 - CVE-2026-10109
Date de publication :
Il s'agit d'une vulnérabilité dans le traitement de la négociation pré-authentification du protocole DRDA utilisé par IBM Db2 pour établir une connexion avec un client distant.
IBM Db2 est un système de gestion de base de données relationnelle destiné aux environnements d'entreprise, disponible sur plusieurs plateformes dont Windows, Linux, AIX et Linux sur IBM Z. Il est utilisé comme moteur de stockage et de traitement transactionnel pour des applications métier nécessitant un accès distant via le protocole DRDA (Distributed Relational Database Architecture).
Lors de cette phase de handshake, avant toute vérification d'identifiants, le serveur traite de façon incorrecte certains paramètres de connexion transmis par le client, ce qui conduit à une génération de code non contrôlée au sein du processus Db2. Aucun compte valide ni interaction de l'utilisateur n'est nécessaire pour déclencher la faille, l'attaquant se contentant d'envoyer une trame DRDA spécialement construite vers le port d'écoute du service.
Elle permet une exécution de code arbitraire à distance sur le serveur hébergeant la base de données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• IBM Db2 versions 11.5.0 jusqu'à 11.5.9.
• IBM Db2 versions 12.1.0 jusqu'à 12.1.4.
• Toutes les plateformes supportées (Windows, AIX, Linux, Linux sur IBM Z) sont concernées.
Solutions ou recommandations
• IBM Db2 V12.1 : build spécial correctif disponible pour la branche V12.1.4 (numéro de build #86230 ou supérieur), applicable à tout niveau affecté de cette version.