// HEISE ONLINE — CYBERSECURITY
Sicherheitsupdate: Kritische Client-Handshake-Lücke bedroht IBM Db2
Angreifer können Daten auf IBM-Db2-Systemen einsehen oder sogar Schadcode ausführen.
IBMs Entwickler haben im relationalen Datenbankmanagementsystem Db2 drei Sicherheitslücken geschlossen. Im schlimmsten Fall können Angreifer Systeme nach erfolgreichen Attacken vollständig kompromittieren. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
Von den folgenden Sicherheitslücken sind die Db2 Server Editions 11.5.0 bis 11.5.9 und 12.1.0 bis 12.1.4 bedroht. Die Entwickler versichern, die Sicherheitsprobleme in den Ausgaben 11.5.9 Build #84653 und 12.1.4 Build #86230 gelöst zu haben.
Einer Warnmeldung zufolge gilt eine „kritische“ Schadcode-Lücke (CVE-2026-10109) als am gefährlichsten. Hier kommt es beim Aushandeln von Verbindungsparametern (Pre-Auth) mit einem Client im Kontext des Distributed-Relational-Database-Architecture-Protokolls (DRDA) zu Fehlern. Dabei kann es zur Ausführung von Schadcode aus der Ferne kommen.
In einem weiteren Fall (CVE-2026-11906 „mittel“) können Angreifer durch das Einfügen von bestimmten Elementen in von XMLTable abgeleiteten Spalten Speicherfehler auslösen, sodass es zu Abstürzen kommt. Über die dritte Schwachstelle (CVE-2025-36372 „mittel“) können Informationen leaken.
Zuletzt haben IBMs Entwickler im Februar dieses Jahres Root-Lücken in Db2 geschlossen.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.