Firebird Project has discovered critical security issues in old versions of all supported releases: if your version is equal or less than specified versions (with build number) 3.0.13.33809, 4.0.6.3203, 5.0.3.1651, you need to upgrade to the latest Firebird releases (3.0.13.33818, 4.0.6.3221, 5.0.3.1683, available on www.firebirdsql.org). To emphasize - if you have something like 3.0.10, 4.0.4 or 5.0.2 - you are in danger zone.
Zero day vulnerability was found in all versions of Firebird with versions less than 3.0.13.33809, 4.0.6.3203, 5.0.3.1651 (it means that current releases on www.firebirdsql.org have it fixed).
Malicious user can cause DoS on firebird server sending specific sequence of bytes, login/password for server is not needed. To exploit the vulnerability, it is enough to send set of bytes to Firebird port, so recommendation is upgrade as soon as possible.
Special note for users of vanilla 2.5 - version 2.5 also suffers from this problem, but since it is not supported by Firebird Project, there will be no fix for vanilla Firebird, so you need to upgrade as soon as possible, or you should consider to use HQbird, which supports 2.5.
For users of HQbird - the recent update HQbird 2024R2 Update 5 (https://ib-aid.com/en/download-hqbird) has all fixes for 5.0, 4.0, 3.0, but for 2.5 IBSurgeon will issue special fix as soon as possible (version 2.5.9.27190). If you are using HQbird older than 2024R2 Update 5 - upgrade as soon as possible.
What to do
- Check version of your Firebird: for this run in command line some tool from your installation with switch -z, for example, gstat.exe -z and check the full version. On Windows you can also do right-click on firebird.exe and see tab "Details".
- If you are running the latest released version - i.e., equal or higher than 3.0.13.33818, 4.0.6.3221, 5.0.3.1683, 2.5.9.27190 you are safe. If it is less - plan upgrade to the latest Firebird.
- If you are using non-safe version, make sure that port 3050 is available only for trusted clients connections. Plan upgrade asap.
Do you need help? Contact [email protected] with any questions.
Alerta de Segurança do Firebird
O Projeto Firebird descobriu problemas críticos de segurança em versões antigas de todas as versões suportadas: se a sua versão for igual ou anterior às versões especificadas (com número de compilação) 3.0.13.33809, 4.0.6.3203, 5.0.3.1651, é necessário atualizar para as versões mais recentes do Firebird (3.0.13.33818, 4.0.6.3221, 5.0.3.1683, disponíveis em www.firebirdsql.org). Para enfatizar - se tiver algo como 3.0.10, 4.0.4 ou 5.0.2 - está na zona de perigo.
A vulnerabilidade de dia zero foi encontrada em todas as versões do Firebird anteriores a 3.0.13.33809, 4.0.6.3203, 5.0.3.1651 (significa que as versões atuais em www.firebirdsql.org já possuem a correção). Usuários mal-intencionados podem causar ataques de negação de serviço (DoS) no servidor Firebird enviando uma sequência específica de bytes. Não são necessários login/senha do servidor. Para explorar a vulnerabilidade, basta enviar um conjunto de bytes para a porta do Firebird, portanto a recomendação é atualizar o mais rápido possível.
Nota especial para usuários da versão vanilla 2.5: a versão 2.5 também é afetada por este problema, mas como não é mais suportada pelo Projeto Firebird, não haverá correção para o Firebird vanilla, então é necessário atualizar o mais rapidamente possível, ou você deve considerar usar o HQbird, que oferece suporte à versão 2.5.
Para usuários do HQbird - a atualização recente HQbird 2024R2 Update 5 (https://ib-aid.com/en/download-hqbird) contém todas as correções para as versões 5.0, 4.0 e 3.0, mas para a versão 2.5, a IBSurgeon lançará uma correção especial o mais rapidamente possível (versão 2.5.9.27190). Se você está usando uma versão do HQbird anterior à 2024R2 Update 5 - atualize o mais rápido possível.
O que fazer
- Verifique a versão do seu Firebird: execute no prompt de comando alguma ferramenta da sua instalação com "-z", por exemplo, "gstat.exe -z" e verifique a versão completa. No Windows, você também pode clicar com o botão direito em firebird.exe e ver a aba "Detalhes".
- Se você está executando a versão mais recente - ou seja, igual ou superior a 3.0.13.33818, 4.0.6.3221, 5.0.3.1683, 2.5.9.27190, você está seguro. Se for inferior - planeje a atualização para a versão mais recente do Firebird.
- Se você está usando uma versão não segura, certifique-se de que a porta 3050 esteja disponível apenas para conexões de clientes confiáveis. Planeje a atualização o mais rápido possível.
Precisa de ajuda? Entre em contato com edson,[email protected] para qualquer dúvida.
en
br
IBSurgeon provides the encryption plugin framework for Firebird:
To recover corrupted Firebird (or InterBase) databases you can use IBSurgeon FirstAID - the best recovery tool for Firebird and InterBase. FirstAID can automatically fix the vast majority of Firebird database corruptions. For big database (more than 65Gb in size) please contact our support, most likely it will require manual recovery service.