IBMs Datenbankmanagementsystem Db2 und die IT-Verwaltungssoftware Tivoli Monitoring sind verwundbar. Im schlimmsten Fall kann Schadcode auf Systeme gelangen.
Wie aus einer Warnmeldung hervorgeht, gilt eine Lücke (CVE-2025-30065) als "kritisch". Sie ist mit dem maximalen CVSS Score 10 von 10 versehen. Das Sicherheitsproblem findet sich im parquet-avro-Modul von Apache Parquet, das Bestandteil von Db2 ist. Weil das Modul nicht vertrauenswürdige Daten verarbeitet, können Angreifer mit präparierten Parquet-Dateien an der Lücken ansetzen und am Ende Schadcode ausführen.
Die verbleibenden Db2-Lücken sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen können Angreifer DoS-Zustände erzeugen oder eigene Befehle ausführen. Die Schwachstellen haben die Entwickler in mehreren Special Builds geschlossen, die in den unterhalb dieses Beitrags aufgelisteten Warnmeldung verlinkt sind.
Die Sicherheitslücke (CVE-2025-3357) in Tivoli Monitoring gilt als "kritisch". Auch hier kann es zur Ausführung von Schadcode kommen. Dagegen ist die Ausgabe IBM Tivoli Monitoring Service Pack 6.3.0.7-TIV-ITM-SP0020 gerüstet.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo