Firebird ISC_PASSWORD环境变量非授权访问漏洞

BUGTRAQ ID: 29123 CVE(CAN) ID: CVE-2008-1880 Firebird是一款提供多个ANSI SQL-92功能的关系型数据库，可运行在Linux、Windows和各种Unix平台下 Gentoo的init脚本（/etc/conf.d/firebird）在启动Firebird时默认会设置ISC_PASSWORD环境变量，当以SYSDBA用户身份连接的客户端没有提供口令时会使用这个变量，这允许远程攻击者无需提供凭据便认证为SYSDBA用户，访问除用户和口令数据库之外的整个数据库。 Firebird 2.0.3.12981.0 Gentoo ------ Gentoo已经为此发布了一个安全公告（GLSA-200805-06）以及相应补丁: GLSA-200805-06：Firebird: Data disclosure 链接：<a href=http://security.gentoo.org/glsa/glsa-200805-06.xml target=_blank>http://security.gentoo.org/glsa/glsa-200805-06.xml</a> 所有Firebird用户都应升级到最新版本： # emerge --sync # emerge --ask --oneshot -v &quot;&gt;=dev-db/firebird-2.0.3.12981.0-r6&quot;