Schadcode-Lücke mit Höchstwertung bedroht Firebird

Admins von Firebird-Instanzen sollten aus Sicherheitsgründen zeitnah die verfügbaren Sicherheitspatches installieren. Geschieht das nicht, können Angreifer Abstürze auslösen oder Systeme sogar nach der Ausführung von Schadcode vollständig kompromittieren. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.

Schadcode-Attacken möglich

Wie aus dem Sicherheitsbereich der GitHub-Website des Projektes hervorgeht, haben die Entwickler insgesamt neun Sicherheitslücken geschlossen. Eine davon gilt als „kritisch“ und sie ist mit dem maximalen CVSS Score 10 von 10 eingestuft (CVE-2026-40342). Davon sind die Plattformen Linux, macOS und Windows betroffen. Damit Angreifer an der Lücke ansetzen können, müssen sie aber Zugriff auf den folgenden Befehl haben:

An dieser Stelle ist CREATE FUNCTION ... ENGINE "" nicht ausreichend gehärtet und Angreifer können damit eine Bibliothek außerhalb des Plug-in-Ordners laden (Path-Traversal-Attacke). Das dürfte eigentlich nicht möglich sein. Weil Firebird den Initialisierungscode nicht ausreichend überprüft, können Angreifer so Schadcode ausführen. Aufgrund der Einstufung ist davon auszugehen, dass Angreifer im Anschluss die volle Kontrolle über Computer erlangen.

Die verbleibenden Softwareschwachstellen sind mit dem Bedrohungsgrad „hoch“ eingestuft. An diese Stellen sind DoS- und weitere Schadcode-Attacken möglich (etwa CVE-2026-28224, CVE-2026-33337).

Sicherheitsupdates verfügbar

Die Entwickler versichern, die Lücken in den Ausgaben 3.0.14, 4.0.7, 5.0.4 und 6.0 geschlossen zu haben. Welche Versionen konkret bedroht sind, können Admins in den auf der GitHub-Seite verlinkten Warnmeldungen nachschauen.

(des)