Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (04.05.2017):
Für die SUSE Linux Enterprise Produkte Workstation Extension, Software
Development Kit und Desktop in den Versionen 12 SP1 und 12 SP2 stehen
Sicherheitsupdates für Firebird bereit.
Version 4 (30.03.2017):
Debian veröffentlicht für die stabile Distribution Jessie ein
Sicherheitsupdate für Firebird, um die Schwachstelle zu beheben.
Version 3 (28.03.2017):
Für Fedora 24 steht Firebird in der Version 2.5.7 im Status ‘testing’
bereit.
Version 2 (23.02.2017):
Für Fedora 25 und Fedora EPEL 7 steht Firebird in der Version 2.5.7 im
Status ‘testing’ bereit.
Version 1 (21.02.2017):
Neues Advisory
Betroffene Software:
Firebird < 2.5.7 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Workstation Extension 12 SP1 SUSE Linux Enterprise Workstation Extension 12 SP2 Apple Mac OS X macOS Sierra Debian Linux 8.7 Jessie GNU/Linux Microsoft Windows openSUSE Leap 42.1 openSUSE Leap 42.2 SUSE Linux Enterprise Desktop 12 SP1 SUSE Linux Enterprise Desktop 12 SP2 Red Hat Fedora 24 Red Hat Fedora 25 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Firebird ausnutzen, um eine Sicherheitsvorkehrung zu umgehen, die den Einsatz fremder Module verhindern soll. In der Folge kann der Angreifer mit Hilfe eines solchen Moduls beliebigen Programmcode ausführen. Der Hersteller informiert über die Schwachstelle in Firebird 2.5.x und stellt Firebird 2.5.7 als Sicherheitsupdate bereit. Nähere Informationen zur Schwachstelle sind öffentlich nicht verfügbar, aufgrund des Schweregrads der Schwachstelle empfiehlt der Hersteller ein sofortiges Sicherheitsupdate. Für openSUSE Leap 42.1 und 42.2 stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. Patch: Fedora Security Update FEDORA-EPEL-2017-759dd56b65 (Fedora EPEL 7, firebird-2.5.7.27050.0-1) https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-759dd56b65
Patch:
Firebird 2.5.7 Release Notes
http://www.firebirdsql.org/file/documentation/release_notes/html/en/2_5/rnfb25-bug.html
Patch:
openSUSE Security Update openSUSE-SU-2017:0514-1
https://lists.opensuse.org/opensuse-updates/2017-02/msg00093.html
Patch:
Fedora Security Update FEDORA-2017-0fbbb732a3 (Fedora 25,
firebird-2.5.7.27050.0-1.fc25)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0fbbb732a3
Patch:
Fedora Security Update FEDORA-2017-97d7758431 (Fedora 24,
firebird-2.5.7.27050.0-1.fc24)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-97d7758431
Patch:
Debian Security Advisory DSA-3824-1
https://www.debian.org/security/2017/dsa-3824
Patch:
SUSE Security Update SUSE-SU-2017:1156-1
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002843.html
CVE-2017-6369: Schwachstelle in Firebird ermöglicht Umgehen von
Sicherheitsvorkehrungen
Durch eine Schwachstelle in Firebird ist es möglich, Zugriff auf externe
Module zu erlangen, obwohl dieser durch den entsprechenden Wert für
‘Restrict UDF’ in der ‘UdfAccess’-Konfiguration unterbunden werden sollte.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0316/
Fedora Security Update FEDORA-EPEL-2017-759dd56b65 (Fedora EPEL 7,
firebird-2.5.7.27050.0-1):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-759dd56b65
Firebird 2.5.7 Release Notes:
http://www.firebirdsql.org/file/documentation/release_notes/html/en/2_5/rnfb25-bug.html
openSUSE Security Update openSUSE-SU-2017:0514-1:
https://lists.opensuse.org/opensuse-updates/2017-02/msg00093.html
Firebird-Konfiguration, Hinweis zu ‘UdfAccess’:
http://www.firebirdsql.org/rlsnotesh/config-fb-conf.html
Fedora Security Update FEDORA-2017-0fbbb732a3 (Fedora 25,
firebird-2.5.7.27050.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0fbbb732a3
Firebird Core 5474: ‘Restrict UDF’ is not effective, because fbudf.so is
dynamically linked against libc’:
http://tracker.firebirdsql.org/browse/CORE-5474
Fedora Security Update FEDORA-2017-97d7758431 (Fedora 24,
firebird-2.5.7.27050.0-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-97d7758431
Debian Security Advisory DSA-3824-1:
https://www.debian.org/security/2017/dsa-3824
SUSE Security Update SUSE-SU-2017:1156-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002843.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
