Configuração TLS do Db2
O sistema de banco de dados Db2 suporta o uso do protocolo TLS (Transport Layer Security), para permitir que um cliente valide o certificado de um servidor Db2 , e prover a comunicação privada entre o cliente e o servidor por meio do uso de criptografia.
Em resposta a CVE-2023-32342, as liberações do Db2 com KI DT223175 usarão o não FIPS IBM Crypto for C (ICC) para cifras TLS que usam troca de chave RSA, pois o FIPS certificado IBM Crypto for C (ICC) é vulnerável a CVE-2023-32342.
Os clientes com um requisito para usar apenas módulos criptográficos certificados pelo FIPS 140 devem ativar o modo FIPS estrito No modo FIPS estrito, as liberações do Db2 com KI DT223175 desativarão todas as cifras e versões TLS que são vulneráveis a CVE-2023-32342.
- O TLS 1.0 e 1.1 serão desativados no modo estrito, independentemente da configuração SSL_VERSIONS, pois as únicas cifras suportadas usam a troca de chave RSA. Se o parâmetro CFG do DBM SSL_VERSIONS estiver desconfigurado ou estiver configurado como TLSV1, o TLS 1.2 será ativado em seu lugar.
- As cifras TLS 1.2 que usam troca de chave RSA (TLS_RSA_ *) serão desativadas. Se não houver cifras restantes no parâmetro SSL_CIPHERSPECS DBM CFG, todas as cifras ECDHE suportadas serão ativadas. Para instâncias usando certificados RSA, o Db2 preferirá automaticamente as cifras TLS_ECDHE_RSA para TLS 1.2 e nenhuma mudança de certificado será necessária.
- O TLS 1.3 não é afetado pelo CVE-2023-32342e o comportamento não será alterado no modo FIPS rigoroso.