Firebird-Sicherheitswarnung für alle älteren Versionen

Produkt- und Serviceankündigungen zu Firebird.

Moderator: martin.koeditz

Forumsregeln
Antworten
Benutzeravatar
martin.koeditz
Beiträge: 517
Registriert: Sa 31. Mär 2018, 14:35

Das Firebird-Projekt hat kritische Sicherheitsprobleme in älteren Versionen aller unterstützten Releases entdeckt.
Wenn Ihre Version kleiner oder gleich der Versions- und Buildnummern 3.0.13.33809, 4.0.6.3203 oder 5.0.3.1651 ist,
müssen Sie unbedingt auf die neuesten Firebird-Versionen aktualisieren (3.0.13.33818, 4.0.6.3221, 5.0.3.1683, verfügbar unter www.firebirdsql.org).
Zur Verdeutlichung: Wenn Sie Versionen wie 3.0.10, 4.0.4, 2.5.8 oder 5.0.2 verwenden, befinden Sie sich in der Gefahrenzone.

Es wurde eine Zero-Day-Sicherheitslücke in allen Firebird-Versionen mit Versionsnummern kleiner als 3.0.13.33809, 4.0.6.3203 und 5.0.3.1651 gefunden (das bedeutet: die aktuell auf www.firebirdsql.org verfügbaren Versionen sind bereits korrigiert).

Ein böswilliger Angreifer kann einen Denial-of-Service-Angriff (DoS) auf einen Firebird-Server ausführen, indem er eine bestimmte Byte-Sequenz an den Firebird-Port sendet – ohne dass ein Login oder Passwort für den Server erforderlich ist. Um die Schwachstelle auszunutzen, reicht es, diese Daten an den Firebird-Port zu schicken. Wir empfehlen daher dringend, sofort ein Update durchzuführen.

Besonderer Hinweis für Nutzer von Firebird 2.5 (Vanilla):
Version 2.5 ist ebenfalls betroffen. Da sie jedoch seit 2019 nicht mehr vom Firebird-Projekt unterstützt wird, wird es keinen Fix für die Standardversion von Firebird 2.5 geben. Sie sollten daher schnellstmöglich auf eine aktuelle Version umsteigen.

Was ist zu tun?

1. Überprüfen Sie die Version Ihres Firebird: Führen Sie dazu in der Befehlszeile ein Tool mit der Option -z (aus Ihrer Installation) aus, beispielsweise gstat.exe -z, und überprüfen Sie die vollständige Version. Unter Windows können Sie auch mit der rechten Maustaste auf firebird.exe klicken und die Registerkarte „Details” anzeigen.

2. Wenn Sie die neueste veröffentlichte Version verwenden – also gleich oder neuer als 3.0.13.33818, 4.0.6.3221, 5.0.3.1683 – sind Sie sicher.
Ist Ihre Version älter, befinden Sie sich in Gefahr und sollten das Upgrade auf die neueste Version sofort einplanen.

3. Falls Sie aktuell noch eine unsichere Version nutzen, stellen Sie sicher, dass der Port 3050 nur für vertrauenswürdige Clients erreichbar ist. Planen Sie das Update so bald wie möglich.

Brauchen Sie Hilfe?
Kontakt: ak@firebirdsql.org

Möchten Sie, dass ich Ihnen den Text gleich in ein fertiges Forum-Posting-Layout mit Formatierungen und Hervorhebungen für firebird-forum.de umwandle?
Da kann ich auch gleich Versionsnummern farblich hervorheben.
Martin Köditz
SynDesk SW GmbH
Nach oben
bfuerchau
Beiträge: 592
Registriert: Mo 7. Mai 2018, 18:09
Kontaktdaten:
Kontaktdaten von bfuerchau

Dein Firebirdsql.org-Link ist leider fehlerhaft.
Nach oben
Benutzeravatar
martin.koeditz
Beiträge: 517
Registriert: Sa 31. Mär 2018, 14:35

Danke für den Hinweis. Ist korrigiert.
Martin Köditz
SynDesk SW GmbH
Nach oben
jhoehne
Beiträge: 50
Registriert: Di 11. Dez 2018, 09:19

Moin

Die angegebenen fehlerkorrigierten Versionen sind diejenigen, die offiziell am 15.7. veröffentlicht wurden!
Die Warnung bezieht sich also - ausgenommen alte Versionen bis 2.5 - ausschließlich auf Pre-Release-Versionen.
--
Joachim
Nach oben
Antworten

Zurück zu „Ankündigungen“