Schwachstellen in Firebird-Datenbank

Mehrere potenzielle Buffer Overflows in der Open-Source-Datenbank Firebird wurden am Freitag vergangener Woche auf der Sicherheits-Mailingliste Full-Disclosure gemeldet.

Betroffen sind nur die Versionen 1.0.0 und 1.0.2 für FreeBSD und Linux. Firebird ist die für verschiedene Betriebssysteme erhältliche Open-Source-Version von Borlands relationaler Interbase-Datenbank. Dtors Security Research berichtet auf Full-Disclosure über drei fehlerhafte Abfragen -- Boundary Condition Errors -- der Größe der von der getenv()-Funktion zurückgelieferten Variablen. In deren Folge kann ein Angreifer über die Manipulation der Umgebungsvariablen der Datenbank beliebigen Code im Sicherheitskontext der Datenbank ausführen. Unter FreeBSD ist dies firebird und unter Linux root . Zum Ausnutzen der Schwachstelle muss ein Angreifer bereits über einen lokalen Account verfügen. Ein Patch für die Schwachstellen ist derzeit noch nicht verfügbar. (dab)