Уязвимость BDU:2019-03693

Идентификатор: BDU:2019-03693.

Наименование уязвимости: Уязвимость подсистемы UDF систем управления базами данных «Ред База Данных» и Firebird, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость подсистемы UDF систем управления базами данных «Ред База Данных» и Firebird связана с ошибками при выполнении проверки определяемых пользователем функций (UDF). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: СУБД Firebird Foundation Inc. Firebird 2.5.1 | СУБД Firebird Foundation Inc. Firebird 2.5.2 | СУБД Firebird Foundation Inc. Firebird 2.5.3 | СУБД Firebird Foundation Inc. Firebird 2.5.4 | СУБД Firebird Foundation Inc. Firebird 2.5.5 | СУБД Firebird Foundation Inc. Firebird 2.5.6 | СУБД ООО «Ред Софт» Ред База Данных до 3.0.10 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.07.2019.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Обновление версии СУБД

Компенсирующие меры:
Отключение загрузки внешних библиотек UDF. Для этого необходимо отредактировать конфигурацию по умолчанию UdfAccess = None. Это предотвратит загрузку модуля fbudf.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2017-6369.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.cvedetails.com/cve/CVE-2017-6369/
http://tracker.firebirdsql.org/browse/CORE-5474
https://reddatabase.ru/secupdate/