Firebird ISC_PASSWORD环境变量非授权访问漏洞

2008-05-14T00:00:00
ID SSV:3283
Type seebug
Reporter Root
Modified 2008-05-14T00:00:00

Description

BUGTRAQ ID: 29123 CVE(CAN) ID: CVE-2008-1880

Firebird是一款提供多个ANSI SQL-92功能的关系型数据库,可运行在Linux、Windows和各种Unix平台下

Gentoo的init脚本(/etc/conf.d/firebird)在启动Firebird时默认会设置ISC_PASSWORD环境变量,当以SYSDBA用户身份连接的客户端没有提供口令时会使用这个变量,这允许远程攻击者无需提供凭据便认证为SYSDBA用户,访问除用户和口令数据库之外的整个数据库。

Firebird 2.0.3.12981.0 Gentoo


Gentoo已经为此发布了一个安全公告(GLSA-200805-06)以及相应补丁: GLSA-200805-06:Firebird: Data disclosure 链接:<a href=http://security.gentoo.org/glsa/glsa-200805-06.xml target=_blank>http://security.gentoo.org/glsa/glsa-200805-06.xml</a>

所有Firebird用户都应升级到最新版本:

# emerge --sync
# emerge --ask --oneshot -v &quot;&gt;=dev-db/firebird-2.0.3.12981.0-r6&quot;