Säkerhetsbulletin från Debian

DSA-1529-1 firebird -- flera sårbarheter

Rapporterat den:
2008-03-24
Berörda paket:
firebird
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 362001, Fel 432753, Fel 444976, Fel 441405, Fel 460048, Fel 463596.
I Mitres CVE-förteckning: CVE-2008-0387, CVE-2008-0467, CVE-2006-7211, CVE-2007-4664, CVE-2007-4665, CVE-2007-4666, CVE-2007-4667, CVE-2007-4668, CVE-2007-4669, CVE-2007-3527, CVE-2007-3181, CVE-2007-2606, CVE-2006-7212, CVE-2006-7213, CVE-2006-7214.
Ytterligare information:

Flera säkerhetsproblem har upptäckts i databasen Firebird, vilka kunde leda till exekvering av godtycklig kod eller användas i överbelastningsattacker.

Den här säkerhetsbulletinen från Debian är något ovanlig. Normalt är vår policy strikt om att bakåtanpassa säkerhetsrättelser till äldre utgåvor, men detta visade sig inte vara möjligt för Firebird 1.5 på grund av de stora infrastrukturella ändringar som krävdes för att rätta dessa problem. På grund av detta avslutas härmed säkerhetsstödet för Firebird 1.5, vilket ger administratörer som använder Firebirddatabaser två alternativ:

  1. Administratörer som kör Firebird med en helt grundläggande inställning med betrodda användare kan lämna den oförändrad.
  2. Alla andra bör uppgradera till firebird2.0-paketen som är tillgängliga från backports.org.

    Version 2.0.3.12981.ds1-6~bpo40+1 rättar alla kända problem.

    Se den allmänna backports.org-dokumentationen för att lägga till paketen till din befintliga pakethanterarinställning.

    Dessa paket är bakåtanpassade för att köra med Debians stabila utgåva. Eftersom firebird2.0 inte är en direkt ersättning för firebird2 (som är namnet på källkodspaketet för Firebird 1.5-paketen) släpps inte dessa uppgraderingar genom security.debian.org. Rättningar av eventuella framtida säkerhetsproblem som gäller Debians stabila utgåva kommer även de att släppas genom backports.org.

    Åtgärder har tagits för att säkerställa att Firebird i den kommande 5.0-utgåvan av Debian återigen kommer att kunna stödas med vanliga bakåtanpassade säkerhetsrättelser.

För en mer detaljerad beskrivning av säkerhetsproblemen, se de poster i Debians felhanteringssystem som refereras ovan, samt följande webbadresser:

http://www.firebirdsql.org/rlsnotes/Firebird-2.0-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.1-ReleaseNotes.pdf
http://www.firebirdsql.org/rlsnotes/Firebird-2.0.2-ReleaseNotes.pdf<