Gentoo Linux 上的 Firebird /etc/conf.d/firebird Invocation ISC_PASSWORD 驗證繞過
high Nessus Plugin ID 32316
語系:
概要
遠端資料庫伺服器允許使用者在沒有密碼的情況下,從遠端連線至管理帳戶。說明
遠端主機上的 Firebird 版本會在啟動資料庫伺服器之前設定「ISC_PASSWORD」環境變數,並在未提供密碼的情況下將其用於遠端用戶端連線。攻擊者可利用此問題以「SYSDBA」的身分使用空白密碼連線,並取得受影響主機上任何資料庫的存取權,但保留資料庫使用者憑證的「security2.fdb」除外。解決方案
如果在 Gentoo 下執行,請使用 emerge 升級至 dev-db / firebird-2.0.3.12981.0-r6 或更新版本。否則,請確保啟動服務時未設定環境變數「ISC_USER」和「ISC_PASSWORD」。
另請參閱
https://bugs.gentoo.org/show_bug.cgi?id=216158
https://www.securityfocus.com/archive/1/491871/30/0/threaded
Plugin 詳細資訊
嚴重性: High
ID: 32316
檔案名稱: firebird_isc_password_set.nasl
版本: 1.13
類型: remote
系列: Databases
已發布: 2008/5/14
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.7
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:firebirdsql:firebird
可輕鬆利用: No known exploits are available
參考資訊
CVE: CVE-2008-1880
BID: 29123