L'ANSSI alerte sur une vague de failles IBM Db2 (CERTFR-2026-AVI-0641) — RCE et élévation de privilèges

Le CERT-FR a publié le 22 mai l'avis CERTFR-2026-AVI-0641, qui consolide plus d'une trentaine de CVE affectant la gamme IBM Db2 ainsi que l'Open SDK for Rust sur AIX. Plusieurs vulnérabilités ouvrent la voie à de l'exécution de code à distance, à de l'élévation de privilèges et à des dénis de service distants. L'avis reprend des bulletins IBM échelonnés sur mai et inclut des CVE allant de 2021 à 2026.

Produits et versions touchés

L'avis liste précisément les périmètres vulnérables et les seuils corrigés :

• Db2 Big SQL versions 7.6.x à 8.3.x antérieures à 8.3.1 patch 4.
• Db2 on Cloud Pak for Data et Db2 Warehouse on Cloud Pak for Data versions 4.8.x à 5.3.x antérieures à 5.3.1.
• Db2 versions 11.5.x antérieures à 11.5.9 sans le Special Build #81937.
• Db2 versions 12.1.x antérieures à 12.1.4 sans le Special Build #83501.
• Open SDK for Rust on AIX versions 1.90.x sans le Security Fix Pack 2.

La présence d'un Special Build est un piège classique : sur les branches 11.5.9 et 12.1.4, IBM ne corrige pas via un changement de numéro mineur mais via un build spécifique qu'il faut explicitement appliquer.

Ce que permettent les failles

Le CERT-FR énumère un éventail d'impacts inhabituellement large pour un avis cumulé :

• Atteinte à l'intégrité et à la confidentialité des données.
• Contournement de la politique de sécurité.
• Déni de service à distance.
• Exécution de code arbitraire à distance.
• Server-Side Request Forgery (SSRF).
• Injection de code indirecte (XSS).
• Élévation de privilèges.

Avec plus de trente CVE couvertes — dont CVE-2026-1188, CVE-2026-1718, CVE-2026-21925 et un noyau de CVE plus anciennes héritées de dépendances tierces — toutes les classes de vulnérabilités SGBD modernes sont représentées. L'avis ne pointe pas une faille unique de criticité maximale, mais l'accumulation suffit à justifier un cycle de patch hors planning sur les déploiements Db2 exposés.

Statut de l'exploitation

Au moment de la publication, l'avis ANSSI ne mentionne pas d'exploitation active dans la nature. Les bulletins IBM amont ne signalent pas non plus de campagne identifiée. Cela ne dispense pas du correctif : les serveurs Db2 sont historiquement la cible de campagnes opportunistes dès qu'un PoC public apparaît, et l'éventail des impacts (en particulier RCE et SSRF) reste très attractif.

Que faire

1. Inventorier. Repérez chaque instance Db2, Db2 Big SQL et Db2 on Cloud Pak dans votre parc, y compris les environnements de pré-production et les copies de données qui traînent dans des labs.
2. Patcher branche par branche. Db2 Big SQL → 8.3.1 patch 4. Cloud Pak → 5.3.1. Db2 11.5.x → 11.5.9 avec Special Build #81937. Db2 12.1.x → 12.1.4 avec Special Build #83501. Vérifier le build appliqué via db2level, pas seulement le numéro de version.
3. AIX. Si vous hébergez Open SDK for Rust en 1.90.x sur AIX, appliquez le Security Fix Pack 2.
4. Limiter l'exposition réseau. Une instance Db2 atteignable depuis un réseau non maîtrisé est un problème indépendamment de ces CVE. Profitez du cycle de patch pour vérifier les ACL et les bastions.
5. Surveiller. Augmentez la rétention des logs Db2 sur la fenêtre de patch. Un comportement anormal — requêtes SQL exotiques, connexions sortantes inattendues du processus Db2 — devient suspect tant que l'inventaire n'est pas couvert.

Contexte

Les avis cumulés IBM sont une routine du CERT-FR, mais celui-ci sort du lot par son volume et par la diversité des impacts. Le mode opératoire IBM — patches via Special Builds plutôt que via incrément de version — continue de piéger les équipes qui suivent leur posture de patching à la numérotation : un parc déclaré « à jour en 11.5.9 » peut très bien rester vulnérable sans le build #81937.

L'avis complet, avec la liste exhaustive des CVE et les liens vers chaque bulletin IBM amont, est publié sur cert.ssi.gouv.fr.