—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2009-2620 – Schwachstelle in Firebird SQL bei der Auswertung von
op_connect_request Nachrichten
In der Firebird SQL Datenbank befindet sich ein Fehler bei der
Auswertung von op_connect_request Nachrichten (src/remote/server.cpp)
der dazu fuehrt, dass der Server in eine Endlosschleife geraet oder
einen NULL Pointer referenziert. Ein entfernter Angreifer kann diese
Schwachstelle zu einem Denial of Service Angriff ausnutzen, indem er
entsprechende Nachrichten an Port 3050/tcp des Datenbank Servers
sendet.
Ein Exploit fuer diese Schwachstelle ist frei verfuegbar.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket firebird
Fedora 10
Fedora 11
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg01341.html
https://www.redhat.com/archives/fedora-package-announce/2009-August/msg01370.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Klaus Moeller, DFN-CERT
– —
Dipl. Inform. Klaus Moeller (Incident Response Team)
Phone: +49 40 808077-555, Fax: +49 40 808077-556
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrase 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-8340
2009-08-07 04:36:13
– ——————————————————————————–
Name : firebird
Product : Fedora 11
Version : 2.1.3.18185.0
Release : 2.fc11
URL : http://www.firebirdsql.org/
Summary : SQL relational database management system
Description :
This package contains common files between firebird-classic and
firebird-superserver. You will need this if you want to use either one.
– ——————————————————————————–
Update Information:
Upgrade from previous package version may be a problem since previous version
remove /var/run/firebird and it shouldn’t This release fix this problem for
future updates If you are in that case (no longer /var/run/firebird directory
after upgrade), just reinstall firebird-2.1.3.18185.0-2 package or create
/var/run/firebird owned by user firebird
– ——————————————————————————–
ChangeLog:
– ——————————————————————————–
References:
[ 1 ] Bug #514463 – CVE-2009-2620 firebird-superserver: NULL ptr dereference (DoS) by handling auxiliary connection(s)
https://bugzilla.redhat.com/show_bug.cgi?id=514463
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update firebird’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFKnRJPk0kIxZMiiQ8RAsxDAJ9HS5ipJIjQZCJGIsG16/V0m0PkDACgyI/w
K/Tu7MYk/fjrJfuRaTTkXIE=
=FVhU
—–END PGP SIGNATURE—–
