Debian セキュリティ勧告

DSA-1529-1 firebird -- 複数の脆弱性

報告日時:
2008-03-24
影響を受けるパッケージ:
firebird
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 362001, バグ 432753, バグ 444976, バグ 441405, バグ 460048, バグ 463596.
Mitre の CVE 辞書: CVE-2008-0387, CVE-2008-0467, CVE-2006-7211, CVE-2007-4664, CVE-2007-4665, CVE-2007-4666, CVE-2007-4667, CVE-2007-4668, CVE-2007-4669, CVE-2007-3527, CVE-2007-3181, CVE-2007-2606, CVE-2006-7212, CVE-2006-7213, CVE-2006-7214.
詳細:

複数の任意のコードの実行が可能やサービス拒否攻撃に繋がるセキュリティ欠 陥が Firebird データベースに発見されました。

この Debian セキュリティ勧告は多少例外的なものです。通常私たちが厳守し ている方針は、セキュリティ修正は旧版にバックポートするというものですが、 Firebird1.5 へのこれらの問題の修正は、大規模な構造変更のため困難である ことが判明しました。この結果、Firebird 1.5 へのセキュリティ修正は打ち切 ることにしました。Firebird データベースを実行している管理者は以下の二選 択肢のいずれかを行ってください。

  1. Firebird を内部で、信用できるユーザのみで使用している場合、そのまま 利用を続けてください。
  2. それ以外の場合は、下記 URL から Firebird 2.0 にアップグレードしてく ださい。 backports.org

    バージョン 2.0.3.12981.ds1-6~bpo40+1 では既知の問題は全て修正されて います。

    その場合、パッケージ管理の設定にこのパッケージを追加するための下記の Backport.org の文書を熟読してください。 general backports.org documentation

    これらのパッケージは Debian の安定版に向けバックポートされたものです。 Firebird 2.0 は firebird2 (これは firebird 1.5 パッケージのソースパ ッケージ名です) の完全上位互換ではないため、security.debian.org から は配信されません。今後安定版に影響するセキュリティ問題の修正は、 backport.org からも提供されます。

    次の Debian 5.0 リリースの際には、通常のバックポートされたセキュリテ ィ修正のサポートに戻るよう計画を行っています。

セキュリティ問題の詳細については、上記および下記 URL での Debian バグト ラッキングシステムの該当エントリを参照ください。

http://www.firebirdsql.org/rlsnotes/Firebird-2.0-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.1-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.2-ReleaseNotes.pdf