Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (28.03.2017):
Für Fedora 24 steht Firebird in der Version 2.5.7 im Status ‘testing’
bereit.
Version 2 (23.02.2017):
Für Fedora 25 und Fedora EPEL 7 steht Firebird in der Version 2.5.7 im
Status ‘testing’ bereit.
Version 1 (21.02.2017):
Neues Advisory
Betroffene Software:
Firebird < 2.5.7 Betroffene Plattformen: Apple Mac OS X macOS Sierra GNU/Linux Microsoft Windows openSUSE Leap 42.1 openSUSE Leap 42.2 Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Firebird ausnutzen, um eine Sicherheitsvorkehrung zu umgehen, die den Einsatz fremder Module verhindern soll. In der Folge kann der Angreifer mit Hilfe eines solchen Moduls beliebigen Programmcode ausführen. Der Hersteller informiert über die Schwachstelle in Firebird 2.5.x und stellt Firebird 2.5.7 als Sicherheitsupdate bereit. Nähere Informationen zur Schwachstelle sind öffentlich nicht verfügbar, aufgrund des Schweregrads der Schwachstelle empfiehlt der Hersteller ein sofortiges Sicherheitsupdate. Für openSUSE Leap 42.1 und 42.2 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. Patch: Fedora Security Update FEDORA-EPEL-2017-759dd56b65 (Fedora EPEL 7, firebird-2.5.7.27050.0-1) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-759dd56b65
Patch:
Firebird 2.5.7 Release Notes
http://www.firebirdsql.org/file/documentation/release_notes/html/en/2_5/rnfb25-bug.html
Patch:
openSUSE Security Update openSUSE-SU-2017:0514-1
https://lists.opensuse.org/opensuse-updates/2017-02/msg00093.html
Patch:
Fedora Security Update FEDORA-2017-0fbbb732a3 (Fedora 25,
firebird-2.5.7.27050.0-1.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0fbbb732a3
Patch:
Fedora Security Update FEDORA-2017-97d7758431 (Fedora 24,
firebird-2.5.7.27050.0-1.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-97d7758431
CVE-2017-6369: Schwachstelle in Firebird ermöglicht Umgehen von
Sicherheitsvorkehrungen
Durch eine Schwachstelle in Firebird ist es möglich, Zugriff auf externe
Module zu erlangen, obwohl dieser durch den entsprechenden Wert für
‘Restrict UDF’ in der ‘UdfAccess’-Konfiguration unterbunden werden sollte.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0316/
Fedora Security Update FEDORA-EPEL-2017-759dd56b65 (Fedora EPEL 7,
firebird-2.5.7.27050.0-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-759dd56b65
Firebird 2.5.7 Release Notes:
http://www.firebirdsql.org/file/documentation/release_notes/html/en/2_5/rnfb25-bug.html
openSUSE Security Update openSUSE-SU-2017:0514-1:
https://lists.opensuse.org/opensuse-updates/2017-02/msg00093.html
Firebird-Konfiguration, Hinweis zu ‘UdfAccess’:
http://www.firebirdsql.org/rlsnotesh/config-fb-conf.html
Fedora Security Update FEDORA-2017-0fbbb732a3 (Fedora 25,
firebird-2.5.7.27050.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0fbbb732a3
Firebird Core 5474: ‘Restrict UDF’ is not effective, because fbudf.so is
dynamically linked against libc’:
http://tracker.firebirdsql.org/browse/CORE-5474
Fedora Security Update FEDORA-2017-97d7758431 (Fedora 24,
firebird-2.5.7.27050.0-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-97d7758431
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
