Sicherheitsleck in Firebird-Datenbank entdeckt

In der quelloffenen Datenbank Firebird gibt es eine Schwachstelle, durch die Schadcode eingeschleust werden kann. Ursache des Problems ist laut Core Security die fehlerhafte Implementierung des eingesetzten XDR-Protokolls (External Data Representation). Da dessen Parser Daten ohne vorherige Überprüfung übernimmt. Wird bei der Anmeldung aus dem Netz ein zu langer Benutzername verwendet, kann dies bereits zu Pufferüberläufen führen. Zudem ermöglicht die Sicherheitslücke Denial-of-Service-Angriffe, da der Empfang manipulierter Daten den Server zum Absturz bringen kann. Von der Schwachstelle sind die Entwicklungszweige der Fassungen 1.0.3, 1.5.5 und 2.0.3 betroffen. Das Update 2.0.4 soll im Februar erscheinen, 1.5.6 im weiteren Verlauf des Jahres. Version 1.0.3 wird nicht mehr aktualisiert. Beim neu veröffentlichten Firebird 2.1 RC 1 haben die Entwickler die Sicherheitslücke geschlossen. Alle Änderungen enthält das Changelog. Administratoren sollten bis zur Verfügbarkeit der Updates, den Zugang zur Datenbank auf vertrauenswürdige Rechner beschränken.

0 Kommentar(e)

Zum Posten von Kommentaren bitte