发布日期：2008-05-09
更新日期：2008-05-12

受影响系统：

Firebird Firebird 2.0.3.12981.0

不受影响系统：

Firebird Firebird 2.0.3.12981.0-r6

描述：

---

BUGTRAQ  ID: 29123
CVE(CAN) ID: CVE-2008-1880

Firebird是一款提供多个ANSI SQL-92功能的关系型数据库，可运行在Linux、Windows和各种Unix平台下

Gentoo的init脚本（/etc/conf.d/firebird）在启动Firebird时默认会设置ISC_PASSWORD环境变量，当以SYSDBA用户身份连接的客户端没有提供口令时会使用这个变量，这允许远程攻击者无需提供凭据便认证为SYSDBA用户，访问除用户和口令数据库之外的整个数据库。

<*来源：Viesturs
  
  链接：http://security.gentoo.org/glsa/glsa-200805-06.xml
*>

建议：

---

厂商补丁：

Gentoo
------
Gentoo已经为此发布了一个安全公告（GLSA-200805-06）以及相应补丁:
GLSA-200805-06：Firebird: Data disclosure
链接：http://security.gentoo.org/glsa/glsa-200805-06.xml

所有Firebird用户都应升级到最新版本：

    # emerge --sync
    # emerge --ask --oneshot -v ">=dev-db/firebird-2.0.3.12981.0-r6"

浏览次数：2344
严重程度：0（网友投票）