In der relationalen SQL-Datenbank Firebird haben die Entwickler zwei Sicherheitslücken geschlossen. Die ermöglichten Angreifern, Server mit manipulierten Anfragen lahmzulegen – oder unter Umständen sogar unbefugten Zugriff auf eigentlich verschlüsselte Daten.
Die schwerwiegendere Schwachstelle betrifft den Pool externer Verbindungen (ExtConnPool). Ist der aktiv, werden darin gespeicherte Verbindungen nicht erneut überprüft, ob die bei ihrer Erstellung verwendeten CryptCallback-APIs tatsächlich noch vorhanden und geeignet sind. Dadurch können Zugriffe auf verschlüsselte Datenbanken erfolgen, wenn externe SQL-Anweisungen ausgeführt werden, auf die später mit Attachments zugegriffen wird, denen ein Schlüssel zur Datenbank fehlt. Bei derartigen verketteten Execute-Statements kann zudem ein Segfault auftreten, auch auf unverschlüsselten Datenbanken, und damit die Serverprozesse lahmlegen (Denial of Service). Die Schwachstelle hat den CVE-Eintrag CVE-2025-24975 / EUVD-2025-25030 mit einem CVSS-Wert von 7.1 und der Risikoeinschätzung "hoch" erhalten.
Davon ist FIrebirdSQL bis einschließlich 5.0.3 sowie 4.0.7 betroffen. Die Fehler korrigieren die Schnappschüsse 6.0.0.609, 5.0.2.1610 sowie 4.0.6.3183 und jeweils neuere.
Vor den Versionen 5.0.3, 4.0.6 und 3.0.13 können beim Verarbeiten von XDR-Nachrichten NULL-Pointer-Derefenzierungen auftreten, also bereits freigegebene Ressourcen erneut freigegeben werden. Das mündet in einem Prozess-Absturz, also einem Denial-of-Service (CVE-2025-54989 / EUVD-2025-25032, CVSS 5.3, Risiko "mittel").
IT-Verantwortliche sollten sicherstellen, die Firebird-Versionen auf die aktualisierten Stände zu bringen. Auf Github stehen die aktualisierten Quellcodes dafür bereit. Etwa die fehlerkorrigierte Fassung 5.0.3 ist seit Mitte Juli für diverse Betriebssysteme verfügbar. Die CVE-Einträge zu dem damit geschlossenen Sicherheitslücken wurden jedoch erst jetzt veröffentlicht.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare