forum.opennet.ru

Составление сообщения

Исходное сообщение

"Вышла СУБД Firebird 3.0.2 с устранением опасной уязвимости"
Отправлено opennews, 25-Мрт-17 23:56

Доступен (https://www.firebirdsql.org/en/news/firebird-3-0-2-sub-relea... корректирующий релиз реляционной СУБД Firebird 3.0.2 (https://www.firebirdsql.org/en/firebird-3-0-2/), продолжающей развитие кода БД InterBase 6.0, открытого в 2000 году компанией Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты ANSI SQL, в том числе такие возможности, как триггеры и хранимые процедуры.

Кроме устранения ошибок (https://www.firebirdsql.org/file/documentation/release_notes... и улучшений (https://www.firebirdsql.org/file/documentation/release_notes... в Firebird 3.0.2 устранена уязвимость (http://tracker.firebirdsql.org/browse/CORE-5474), которая позволяет аутентифицированному пользователю повысить свои привилегии и выполнить код с правами рабочего процесса СУБД через манипуляции с UDF-функциями (User Defined Function), независимо от содержимого настройки 'UdfAccess = Restrict UDF'. Пользуясь тем, что  fbudf.so динамически связывается с libc, эксплуатация сводится к выполнению следующих команд:
    DECLARE EXTERNAL FUNCTION EXEC cstring(4096), integer RETURNS integer BY VALUE ENTRY_POINT 'system' MODULE_NAME 'fbudf' ;
    select first 1 EXEC('touch /tmp/proof') from some_table;

Из улучшений (https://www.firebirdsql.org/file/documentation/release_notes... в Firebird 3.0.2 можно отметить портирование (http://tracker.firebirdsql.org/browse/CORE-3885) для платформы Android и устаревших систем на базе CPU Motorola 680000 (https://ru.wikipedia.org/wiki/Motorola_680x0) , возможность (http://tracker.firebirdsql.org/browse/CORE-1095) использования выражения SELECT в качестве параметра оператора BETWEEN, обеспечение сборки на платформе Linux с опцией "--enable-binreloc", существенное увеличение (http://tracker.firebirdsql.org/browse/CORE-5434) производительности транзакций только на чтение, поддержка (http://tracker.firebirdsql.org/browse/CORE-5257) вложенных ключей в конфигурации плагинов.
URL: https://www.firebirdsql.org/en/news/firebird-3-0-2-sub-relea.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46256

Исходное сообщение
"Вышла СУБД Firebird 3.0.2 с устранением опасной уязвимости" Отправлено opennews, 25-Мрт-17 23:56
Доступен (https://www.firebirdsql.org/en/news/firebird-3-0-2-sub-relea... корректирующий релиз реляционной СУБД Firebird 3.0.2 (https://www.firebirdsql.org/en/firebird-3-0-2/), продолжающей развитие кода БД InterBase 6.0, открытого в 2000 году компанией Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты ANSI SQL, в том числе такие возможности, как триггеры и хранимые процедуры. Кроме устранения ошибок (https://www.firebirdsql.org/file/documentation/release_notes... и улучшений (https://www.firebirdsql.org/file/documentation/release_notes... в Firebird 3.0.2 устранена уязвимость (http://tracker.firebirdsql.org/browse/CORE-5474), которая позволяет аутентифицированному пользователю повысить свои привилегии и выполнить код с правами рабочего процесса СУБД через манипуляции с UDF-функциями (User Defined Function), независимо от содержимого настройки 'UdfAccess = Restrict UDF'. Пользуясь тем, что fbudf.so динамически связывается с libc, эксплуатация сводится к выполнению следующих команд: DECLARE EXTERNAL FUNCTION EXEC cstring(4096), integer RETURNS integer BY VALUE ENTRY_POINT 'system' MODULE_NAME 'fbudf' ; select first 1 EXEC('touch /tmp/proof') from some_table; Из улучшений (https://www.firebirdsql.org/file/documentation/release_notes... в Firebird 3.0.2 можно отметить портирование (http://tracker.firebirdsql.org/browse/CORE-3885) для платформы Android и устаревших систем на базе CPU Motorola 680000 (https://ru.wikipedia.org/wiki/Motorola_680x0) , возможность (http://tracker.firebirdsql.org/browse/CORE-1095) использования выражения SELECT в качестве параметра оператора BETWEEN, обеспечение сборки на платформе Linux с опцией "--enable-binreloc", существенное увеличение (http://tracker.firebirdsql.org/browse/CORE-5434) производительности транзакций только на чтение, поддержка (http://tracker.firebirdsql.org/browse/CORE-5257) вложенных ключей в конфигурации плагинов. URL: https://www.firebirdsql.org/en/news/firebird-3-0-2-sub-relea.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=46256

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Доступен (https://www.firebirdsql.org/en/news/firebird-3-0-2-sub-release-is-available/) 
> корректирующий релиз реляционной СУБД Firebird 3.0.2 (https://www.firebirdsql.org/en/firebird-3-0-2/), 
> продолжающей развитие кода БД InterBase 6.0, открытого в 2000 году компанией 
> Borland. Firebird распространяется под свободной лицензией MPL и поддерживает стандарты 
> ANSI SQL, в том числе такие возможности, как триггеры и хранимые 
> процедуры.

> Кроме устранения ошибок (https://www.firebirdsql.org/file/documentation/release_notes/html/en/3_0/rnfb30-bug.html#bug-302) 
> и улучшений (https://www.firebirdsql.org/file/documentation/release_notes/html/en/3_0/rnfb30-general.html#rnfb30-general-improvements-v302), 
> в Firebird 3.0.2 устранена уязвимость (http://tracker.firebirdsql.org/browse/CORE-5474), 
> которая позволяет аутентифицированному пользователю повысить свои привилегии и выполнить 
> код с правами рабочего процесса СУБД через манипуляции с UDF-функциями (User 
> Defined Function), независимо от содержимого настройки 'UdfAccess = Restrict UDF'. Пользуясь 
> тем, что  fbudf.so динамически связывается с libc, эксплуатация сводится к 
> выполнению следующих команд:

>     DECLARE EXTERNAL FUNCTION EXEC cstring(4096), integer RETURNS integer 
> BY VALUE ENTRY_POINT 'system' MODULE_NAME 'fbudf' ; 
>     select first 1 EXEC('touch /tmp/proof') from some_table;

> Из улучшений (https://www.firebirdsql.org/file/documentation/release_notes/html/en/3_0/rnfb30-general.html#rnfb30-general-improvements-v302) 
> в Firebird 3.0.2 можно отметить портирование (http://tracker.firebirdsql.org/browse/CORE-3885) 
> для платформы Android и устаревших систем на базе CPU Motorola 680000 
> (https://ru.wikipedia.org/wiki/Motorola_680x0) , возможность (http://tracker.firebirdsql.org/browse/CORE-1095) 
> использования выражения SELECT в качестве параметра оператора BETWEEN, обеспечение сборки 
> на платформе Linux с опцией "--enable-binreloc", существенное увеличение (http://tracker.firebirdsql.org/browse/CORE-5434) 
> производительности транзакций только на чтение, поддержка (http://tracker.firebirdsql.org/browse/CORE-5257) 
> вложенных ключей в конфигурации плагинов.

> URL: https://www.firebirdsql.org/en/news/firebird-3-0-2-sub-release-is-available/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46256

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру