Dernière minute
ARالولايات المتحدة توسع ضرباتها على إيران.. وطهران تعلن مقتل 14 وإصابة 78DEBundestag stimmt über Warkens Krankenkassenreform abTRABD ve İran Arasında Diplomasinin Devam Ettiği BildirildiCN苏州2026国际中体联足球世界杯进入百日冲刺阶段RUЛицензия на производство Patriot в Украине: новые риски для СШАITeasyJet: in borsa balza dopo offerta Apollo, ma resta sotto le proposteCNChina Unveils Ambitious Plan to Peak Emissions in Five Years, Boost Green EnergyTRMilli motosikletçiler Avrupa'da yarışacakKR대한항공-아시아나 조종사 갈등, 노조위원장 경찰 조사 받아KR국민의힘 주진우 의원, '부산시장 선거 개입' 경찰 지휘부 형사 고발 예고ARالولايات المتحدة توسع ضرباتها على إيران.. وطهران تعلن مقتل 14 وإصابة 78DEBundestag stimmt über Warkens Krankenkassenreform abTRABD ve İran Arasında Diplomasinin Devam Ettiği BildirildiCN苏州2026国际中体联足球世界杯进入百日冲刺阶段RUЛицензия на производство Patriot в Украине: новые риски для СШАITeasyJet: in borsa balza dopo offerta Apollo, ma resta sotto le proposteCNChina Unveils Ambitious Plan to Peak Emissions in Five Years, Boost Green EnergyTRMilli motosikletçiler Avrupa'da yarışacakKR대한항공-아시아나 조종사 갈등, 노조위원장 경찰 조사 받아KR국민의힘 주진우 의원, '부산시장 선거 개입' 경찰 지휘부 형사 고발 예고
Newsgather
BackKritische Sicherheitslücke in Firebird-Datenbanken entdeckt
Kritische Sicherheitslücke in Firebird-Datenbanken entdeckt
Urgent
Heise Online21.04.2026Tech1 dk okumaGermany

Kritische Sicherheitslücke in Firebird-Datenbanken entdeckt

Entwickler schließen neun Schwachstellen, darunter eine kritische Lücke mit dem CVSS-Score 10

L'essentiel

Die Entwickler der Firebird-Datenbank haben neun Sicherheitslücken geschlossen, darunter eine kritische Schwachstelle (CVE-2026-40342) mit dem maximalen CVSS-Score von 10, die eine vollständige Systemkompromittierung ermöglichen kann.

Résumé généré par IA

Pourquoi c'est important

Firebird ist ein relationales Datenbanksystem, das auf verschiedenen Betriebssystemen eingesetzt wird. Die aktuellen Sicherheitsupdates adressieren Schwachstellen, die unter anderem Path-Traversal-Angriffe ermöglichen.

Taille de police

Admins von Firebird-Instanzen sollten aus Sicherheitsgründen zeitnah die verfügbaren Sicherheitspatches installieren. Geschieht das nicht, können Angreifer Abstürze auslösen oder Systeme sogar nach der Ausführung von Schadcode vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Wie aus dem Sicherheitsbereich der GitHub-Website des Projektes hervorgeht, haben die Entwickler insgesamt neun Sicherheitslücken geschlossen. Eine davon gilt als „kritisch“ und sie ist mit dem maximalen CVSS Score 10 von 10 eingestuft (CVE-2026-40342). Davon sind die Plattformen Linux, macOS und Windows betroffen. Damit Angreifer an der Lücke ansetzen können, müssen sie aber Zugriff auf den folgenden Befehl haben: An dieser Stelle ist CREATE FUNCTION ... ENGINE "<name>" nicht ausreichend gehärtet und Angreifer können damit eine Bibliothek außerhalb des Plug-in-Ordners laden (Path-Traversal-Attacke). Das dürfte eigentlich nicht möglich sein. Weil Firebird den Initialisierungscode nicht ausreichend überprüft, können Angreifer so Schadcode ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer im Anschluss die volle Kontrolle über Computer erlangen.

Die verbleibenden Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. An diese Stellen sind DoS- und weitere Schadcode-Attacken möglich (etwa CVE-2026-28224, CVE-2026-33337).

Die Entwickler versichern, die Lücken in den Ausgaben 3.0.14, 4.0.7, 5.0.4 und 6.0 geschlossen zu haben. Welche Versionen konkret bedroht sind, können Admins in den auf der GitHub-Seite verlinkten Warnmeldungen nachschauen.

À surveiller

Perspective IA — des possibilités, pas des certitudes

  • Administratoren werden die Updates in den kommenden Tagen einspielen.

    Très probable · En quelques jours

Questions ouvertes

  • Gibt es bereits Anzeichen für eine aktive Ausnutzung der Lücken in der freien Wildbahn?

Sujets liés

This article was originally published by Heise Online.

Articles liés

Plus sur ce sujetfirebird