Firebird ilişkisel SQL veritabanında, geliştiriciler iki güvenlik boşluğu doldurdu. Saldırganlar, sunucuları manipüle edilmiş araştırmalarla – ya da belki de gerçekten şifrelenmiş verilere yetkisiz erişimle felç etmeyi mümkün kıldı.
En ciddi en zayıf nokta, dış bileşik havuzuyla (extConnpool) ilgilidir. Bu aktifse, yaratılışları sırasında kullanılan CryptCallback arıları aslında hala mevcut ve uygunsa, içinde saklanan bağlantılar tekrar kontrol edilmez. Bu, harici SQL talimatları gerçekleştirilirse, daha sonra veritabanı için bir anahtar eksik olan eklerle erişilecek olan şifreli veritabanlarına erişim sağlar. Bu zor yürütülen yürütme talimatlarıyla, şifrelenmemiş veritabanlarında bile bir segfault da meydana gelebilir ve bu nedenle sunucu işlemlerini (hizmetin reddedilmesi) felç eder. Zayıf nokta, CVSS değeri olan CVE-2025-24975 / EUVD-2025-25030 öğesine sahiptir. 7.1 ve risk değerlendirmesi “yüksek” almak.
5.0.3 ve 4.0.7'ye kadar olan FirebirdSQL ilgileniyor. Hatalar 6.0.0.609, 5.0.2.1610 ve 4.0.6.3183 anlık görüntülerini düzeltir.
Firebird'de ikinci güvenlik açığı
5.0.3, 4.0.6 ve 3.0.13 sürümlerinden önce, XDR mesajlarının işlenmesi sırasında bir bok-süreç eskrim sıfırını oluşturmak mümkündür, yani verilen kaynaklar tekrar piyasaya sürülür. Bu bir işlem çökmesinde veya hizmetin reddedilmesinde akar (CVE 2025-54989 / EUVD-2025-25032, CVSS 5.3Risk “orta“).
BT yöneticileri, Firebird sürümlerini güncellenmiş standlara getirdiğinden emin olmalıdır. Güncellenmiş başlangıç kodları GitHub'da mevcuttur. Örneğin, Temmuz ortasından bu yana çeşitli işletim sistemleri için doğru hata 5.0.3 kullanılabilir. Bununla birlikte, güvenlik boşlukları hakkındaki CVE söylentileri sadece yayınlanmaktadır.
(DMK)
Bir yanıt yazın