Debians sikkerhedsbulletin

DSA-1529-1 firebird -- flere sårbarheder

Rapporteret den:
24. mar 2008
Berørte pakker:
firebird
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 362001, Fejl 432753, Fejl 444976, Fejl 441405, Fejl 460048, Fejl 463596.
I Mitres CVE-ordbog: CVE-2008-0387, CVE-2008-0467, CVE-2006-7211, CVE-2007-4664, CVE-2007-4665, CVE-2007-4666, CVE-2007-4667, CVE-2007-4668, CVE-2007-4669, CVE-2007-3527, CVE-2007-3181, CVE-2007-2606, CVE-2006-7212, CVE-2006-7213, CVE-2006-7214.
Yderligere oplysninger:

Flere sikkerhedsproblemer er opdaget i Firebird-databasen, hvilket kunne føre til udførelse af vilkårlig kode eller lammelsesangreb (denial of service).

Denne Debian-sikkerhedsbulletin er lidt usædvanlig. Mens vi normalt altid tilbagefører sikkerhedsrettelser til ældre versioner, viste det sig at være ugennemførligt hvad angår Firebird 1.5, på grund af mange infrasturkturmæssige ændringer for at løse disse problemer. SOm konsekvens deraf understøttes Firebird 1.5 ikke længere med sikkerhedsopdateringer, hvorved administratorer der har en Firebird-database, har to muligheder:

  1. Administratorer der kører Firebird i en fuldstændig intern opsætning med betroede brugere kan undlade at foretage sig noget.
  2. Alle andre bør opgradere til firebird2.0-pakkerne, der er tilgængelige på backports.org.

    Version 2.0.3.12981.ds1-6~bpo40+1 retter alle kendte problemer.

    Se venligst den generelle backports.org-dokumentation for oplysninger om hvordan man tilføjer pakkerne til sin pakkehåndteringsopsætning.

    Disse pakker er tilbageført til at køre på Debian stable. Da firebird2.0 ikke er uden videre kan erstatte firebird2 (som er kildekodepakkenavnet for Firebird 1.5-pakkerne), udgives disse opdateringer ikke gennem security.debian.org. Rettelser til eventuelle fremtidige sikkerhedsproblemer som påvirker Debian stabile, vil også blive udgivet gennem backports.org.

    Aftaler, der sikrer at Firebird i den kommende Debian 5.0-udgave, kan understøttes med regulære tilbageførte sikkerhedsrettelser er indgået.

For en mere detaljeret beskrivelse af sikkerhedsproblemer, kan man læse registreringerne i Debians fejlsporingssystem refereret oven for, samt på de følgende URL'er:

http://www.firebirdsql.org/rlsnotes/Firebird-2.0-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.1-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.2-ReleaseNotes.pdf