Configuración de TLS de Db2
El sistema de base de datos Db2 soporta el uso del protocolo TLS (Transport Layer Security), para permitir que un cliente valide el certificado de un servidor Db2 y para proporcionar comunicación privada entre el cliente y el servidor mediante el uso del cifrado.
En respuesta a CVE-2023-32342, los releases de Db2 con KI DT223175 utilizarán los cifrados no FIPS IBM Crypto for C (ICC) for TLS que utilizan el intercambio de claves RSA, ya que el IBM Crypto for C (ICC) certificado por FIPS es vulnerable a CVE-2023-32342.
Los clientes con el requisito de utilizar únicamente módulos criptográficos certificados FIPS 140 deben habilitar la modalidad FIPS estricta. En modalidad FIPS estricta, los releases de Db2 con KI DT223175 inhabilitarán todos los cifrados y versiones TLS que son vulnerables a CVE-2023-32342.
- TLS 1.0 y 1.1 se inhabilitarán en modalidad estricta independientemente del valor SSL_VERSIONS, ya que los únicos cifrados soportados utilizan el intercambio de claves RSA. Si el parámetro SSL_VERSIONS DBM CFG no está establecido o está establecido en TLSV1, TLS 1.2 se habilitará en su lugar.
- Los cifrados TLS 1.2 que utilizan el intercambio de claves RSA (TLS_RSA_ *) se inhabilitarán. Si no hay cifrados restantes en el parámetro SSL_CIPHERSPECS DBM CFG, se habilitarán todos los cifrados ECDHE soportados. Para las instancias que utilizan certificados RSA, Db2 preferirá automáticamente los cifrados TLS_ECDHE_RSA para TLS 1.2 y no es necesario ningún cambio de certificado.
- TLS 1.3 no se ve afectado por CVE-2023-32342, y el comportamiento no cambiará en la modalidad FIPS estricta.