Debian-Sicherheitsankündigung

DSA-1529-1 firebird -- mehrere Verwundbarkeiten

Datum des Berichts:
24. Mär 2008
Betroffene Pakete:
firebird
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Debian-Fehlerdatenbank: Fehler 362001, Fehler 432753, Fehler 444976, Fehler 441405, Fehler 460048, Fehler 463596.
In Mitres CVE-Verzeichnis: CVE-2008-0387, CVE-2008-0467, CVE-2006-7211, CVE-2007-4664, CVE-2007-4665, CVE-2007-4666, CVE-2007-4667, CVE-2007-4668, CVE-2007-4669, CVE-2007-3527, CVE-2007-3181, CVE-2007-2606, CVE-2006-7212, CVE-2006-7213, CVE-2006-7214.
Weitere Informationen:

In der Firebird-Datenbank wurden mehrere Sicherheitsprobleme gefunden, die zur Ausführung von beliebigen Code oder zur Diensteverweigerung (Denial of Service) führen könnten.

Diese Debian-Sicherheitsankündigung ist ein bisschen ungewöhnlich. Während normalerweise die strenge Regel herrscht, dass Sicherheitskorrekturen auf ältere Versionen zurückportiert werden, erwies sich dies für Firebird 1.5 aufgrund der großen Infrastrukturänderungen, die für die Behebung dieser Probleme notwendig sind, als undurchführbar. Als Konsequenz wird hiermit die Sicherheitsunterstützung für Firebird 1.5 beendet, womit zwei Optionen für Administratoren verbleiben, die eine Firebird-Datenbank betreiben:

  1. Administratoren, die Firebird in einer komplett internen Installation mit vertrauenswürdigen Benutzern betreiben, könnten diese unverändert belassen.
  2. Alle anderen sollten ein Upgrade auf die firebird2.0-Pakete, verfügbar über backports.org, durchführen.

    Version 2.0.3.12981.ds1-6~bpo40+1 behebt alle bekannten Probleme.

    Bitte schauen Sie in die allgemeine Dokumentation für backports.org, um zu ersehen, wie Sie die Pakete zu Ihrer Paketverwaltungsinformationskonfiguration hinzufügen.

    Diese Pakete wurden für den Betrieb mit Stable von Debian zurückportiert. Da firebird2.0 kein eins-zu-eins-Ersatz für firebird2 (dies ist der Name der Quellen für die Firebird 1.5-Pakete) ist, werden die Aktualisierungen nicht über security.debian.org vertrieben. Korrekturen für mögliche zukünftige Sicherheitsprobleme, die Stable von Debian betreffen, werden auch über backports.org vertrieben.

    Es wurden Vorkehrungen getroffen, dass Firebird in der kommenden Veröffentlichung Debian 5.0 wieder mit regulären rückportierten Sicherheitskorrekturen unterstützt werden kann.

Für eine detailliertere Beschreibung der Sicherheitsprobleme schauen Sie bitte in die oben referenzierten Einträge in der Fehlerdatenbank von Debian und auf Seiten mit folgenden URLs:

http://www.firebirdsql.org/rlsnotes/Firebird-2.0-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.1-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.2-ReleaseNotes.pdf