IBM TBSM: podatność na CVE-2025-33092 i CVE-2025-33143 w komponentach DB2 — co muszą zrobić zespoły operacyjne

Wprowadzenie do problemu / definicja luki

27 października 2025 r. IBM opublikował biuletyn bezpieczeństwa informujący, iż IBM Tivoli Business Service Manager (TBSM) jest podatny na dwie podatności wynikające z użycia komponentów IBM Db2/JDBC:

• CVE-2025-33092 – przepełnienie bufora na stercie (stack-based buffer overflow) w komponencie db2fm, umożliwiające lokalne wykonanie dowolnego kodu;
• CVE-2025-33143 – DoS wywołane specjalnie spreparowanym zapytaniem SQL prowadzącym do niekontrolowanej rekursji.

Podatne są instalacje TBSM 6.2.0.0 – 6.2.0.6, ponieważ wraz z TBSM dystrybuowany jest sterownik DB2 JDBC w pakiecie XMLToolkit. IBM dostarczył instrukcję natychmiastowej wymiany plików db2jcc4.jar w kilku katalogach produktu.

W skrócie

• Dotyczy: IBM TBSM 6.2.0.0–6.2.0.6 (komponent XMLToolkit/DB2 JDBC).
• CVE-2025-33092 (CVSS 7.8): lokalne RCE przez przepełnienie bufora w db2fm.
• CVE-2025-33143 (CVSS 6.5): zdalny DoS przez rekursję w zapytaniu SQL (wymaga użytkownika uwierzytelnionego).
• Brak obejść: IBM nie podaje „workaroundów”; zalecana jest aktualizacja sterownika DB2 JDBC do najnowszej wersji z gałęzi 11.5.x zgodnej z biuletynami Db2.

Kontekst / historia / powiązania

Obie luki pierwotnie opisano w biuletynach Db2 (29 lipca 2025 r.), a następnie ich wpływ rozszerzono na produkty zależne (w tym TBSM), które pakują komponenty Db2/JDBC. IBM utrzymuje centralną stronę „special builds” Db2 z kumulatywnymi poprawkami — aktualne łatki znajdują się w strumieniach 11.5.9 i 12.1.1/12.1.2. Dla TBSM istotna jest aktualizacja sterownika JDBC zgodnie z instrukcją w biuletynie TBSM.

Analiza techniczna / szczegóły luki

CVE-2025-33092

• Wada: niewłaściwe sprawdzanie granic w komponencie db2fm prowadzące do stack-based buffer overflow.
• Skutek: lokalny użytkownik z uprawnieniami niewysokimi (PR:L) może doprowadzić do wykonania dowolnego kodu; CVSS 7.8 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
• Zakres: potwierdzone dla Db2 12.1.0, 12.1.1, 12.1.2 (wg NVD/IBM).

CVE-2025-33143

• Wada: niekontrolowana rekursja podczas przetwarzania specjalnie spreparowanego zapytania SQL.
• Skutek: Denial of Service (krytyczne obciążenie/restart procesu Db2), wymagane uprawnienia użytkownika uwierzytelnionego (PR:L); CVSS 6.5 (AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).

Powiązanie z TBSM
TBSM nie zawiera „pełnego” serwera Db2, ale używa sterownika DB2 JDBC (XMLToolkit), więc podatność przenika przez zależność. IBM podaje precyzyjne ścieżki do wymiany db2jcc4.jar (w tym wariant z nazwą db2jcc.jar wymagający podmiany i zmiany nazwy).

Praktyczne konsekwencje / ryzyko

• Środowiska produkcyjne TBSM narażone są na incydenty stabilności (DoS) ze strony użytkowników posiadających konto do baz/źródeł danych obsługiwanych przez sterownik DB2.
• Ryzyko eskalacji lokalnej (jeśli komponenty Db2 są obecne na tym samym hoście) z uwagi na CVE-2025-33092 — mniejsze w kontekstach czysto zdalnych, ale krytyczne przy współlokacji narzędzi administracyjnych.
• Brak obejść wymusza pilną aktualizację — IBM nie wskazuje mitgacji konfiguracyjnych.

Rekomendacje operacyjne / co zrobić teraz

1. Zidentyfikuj instalacje TBSM 6.2.0.0–6.2.0.6. Priorytet dla instancji produkcyjnych i tych z ekspozycją sieciową.
2. Wykonaj wymianę sterownika JDBC DB2 na najnowszy 11.5.x:
   • Pobierz aktualny pakiet DB2 JDBC (v11.5.x) ze strony Db2 Special Builds lub użyj pliku z istniejącej instalacji Db2 ≥ 11.5.9 z zastosowaną łatką.
   • Zatrzymaj serwery TBSM, podmień db2jcc4.jar w katalogach:
     <TBSM>/XMLtoolkit/tools/crviewer/lib/
     <TBSM>/XMLtoolkit/tools/ExportDatabaseTool/drivers/
     <TBSM>/XMLtoolkit/jars/
     (Jeśli widnieje db2jcc.jar, podmień zawartość z db2jcc4.jar i zmień nazwę na db2jcc.jar.) Następnie uruchom TBSM.
3. Zaplanuj testy regresji (połączenia JDBC, eksport/import, narzędzia XMLToolkit) i monitoruj logi pod kątem błędów po aktualizacji.
4. Upewnij się, iż Db2 w środowisku (jeżeli współistnieje) ma zastosowane najnowsze special builds zgodnie z gałęziami 11.5.9/12.1.1/12.1.2.
5. Wzmocnij kontrolę dostępu do zapytań (rola/PR:L) i limity zasobów w warstwie bazy, aby ograniczyć potencjalne skutki DoS do czasu pełnej aktualizacji. (Wniosek operacyjny na podstawie charakterystyki CVE-2025-33143).
6. Subskrybuj powiadomienia IBM PSIRT dla TBSM/Db2, aby otrzymywać komunikaty o przyszłych biuletynach.

Różnice / porównania z innymi przypadkami

W 2024–2025 pojawiały się liczne biuletyny Db2 związane z DoS przy specjalnie spreparowanych zapytaniach (różne przyczyny: zwalnianie pamięci, biblioteki zależne itp.). CVE-2025-33143 wyróżnia się mechanizmem rekursji i wymaganiem PR:L (użytkownik uwierzytelniony), podczas gdy CVE-2025-33092 to klasyczne overflow w komponencie serwisowym (db2fm) i dotyczy głównie kontekstu lokalnego. W praktyce zestaw special builds zbiera poprawki kumulacyjnie — wdrożenie najświeższego sterownika/łatek zwykle remediuje cały zestaw pokrewnych problemów.

Podsumowanie / najważniejsze wnioski

• Instalacje TBSM 6.2.0.0–6.2.0.6 są narażone poprzez komponent DB2 JDBC — brak obejść, konieczna pilna podmiana db2jcc4.jar.
• CVE-2025-33092 (CVSS 7.8) umożliwia lokalne RCE; CVE-2025-33143 (CVSS 6.5) może wywołać DoS specjalnie spreparowanym SQL.
• Utrzymuj najświeższe special builds Db2 (11.5.9 / 12.1.1 / 12.1.2) i aktualny sterownik JDBC w TBSM.

Źródła / bibliografia

• IBM: Security Bulletin — IBM TBSM is vulnerable to multiple vulnerabilities due to DB2 (CVE-2025-33092, CVE-2025-33143), publikacja 27.10.2025 (instrukcje wymiany db2jcc4.jar, wersje podatne TBSM). (IBM)
• IBM: Security Bulletin — IBM Db2 is vulnerable to a stack-based buffer overflow (CVE-2025-33092), 29.07.2025. (IBM)
• IBM: Security Bulletin — IBM Db2 is vulnerable to a denial of service using a specially crafted SQL statement (CVE-2025-33143), 29.07.2025. (IBM)
• IBM: Published Security Vulnerabilities for Db2… including Special Build information (najświeższe special builds, gałęzie wsparcia). (IBM)
• NVD: CVE-2025-33092 (opis, wektor CVSS 3.1). (NVD)