Firebird Firebird 2.0.3.12981.0不受影响系统:
Firebird Firebird 2.0.3.12981.0-r6描述:
BUGTRAQ ID: 29123
CVE(CAN) ID: CVE-2008-1880
Firebird是一款提供多个ANSI SQL-92功能的关系型数据库,可运行在Linux、Windows和各种Unix平台下
Gentoo的init脚本(/etc/conf.d/firebird)在启动Firebird时默认会设置ISC_PASSWORD环境变量,当以SYSDBA用户身份连接的客户端没有提供口令时会使用这个变量,这允许远程攻击者无需提供凭据便认证为SYSDBA用户,访问除用户和口令数据库之外的整个数据库。
<*来源:Viesturs
链接:http://security.gentoo.org/glsa/glsa-200805-06.xml
*>
建议:
厂商补丁:
Gentoo
------
Gentoo已经为此发布了一个安全公告(GLSA-200805-06)以及相应补丁:
GLSA-200805-06:Firebird: Data disclosure
链接:http://security.gentoo.org/glsa/glsa-200805-06.xml
所有Firebird用户都应升级到最新版本:
# emerge --sync
# emerge --ask --oneshot -v ">=dev-db/firebird-2.0.3.12981.0-r6"