Plataforma
other
Componente
firebird
Corrigido em
3.0.1
4.0.1
5.0.1
O Firebird, um sistema de gerenciamento de banco de dados relacional de código aberto, apresenta uma vulnerabilidade de negação de serviço (DoS) em versões anteriores a 5.0.4, 4.0.7 e 3.0.14. A falha ocorre na função sdl_desc(), que não valida o comprimento de um descritor SDL, levando a uma divisão por zero. A correção está disponível na versão 3.0.14.
A vulnerabilidade CVE-2026-35215 afeta o sistema de gerenciamento de banco de dados Firebird em versões anteriores a 5.0.4, 4.0.7 e 3.0.14. Ela é causada por uma validação inadequada do comprimento de um descritor SDL decodificado de um pacote de fatias (slice packet). Especificamente, a função sdl_desc() não verifica adequadamente o comprimento, permitindo que um descritor de comprimento zero seja usado posteriormente para calcular o número de itens da fatia. Isso resulta em uma divisão por zero, causando uma falha no servidor. A severidade desta vulnerabilidade é classificada como CVSS 7.5, indicando um risco significativo.
Um atacante não autenticado pode explorar esta vulnerabilidade enviando um pacote de fatias (slice packet) especialmente projetado para o servidor Firebird. A manipulação do pacote de fatias induz a função sdl_desc() a usar um descritor de comprimento zero, o que desencadeia a divisão por zero e o consequente falha do servidor. A falta de autenticação necessária para a exploração torna esta vulnerabilidade particularmente preocupante, pois um atacante externo pode comprometer o servidor sem a necessidade de credenciais.
Organizations running Firebird database servers in production, particularly those using versions 3.0.0–>= 5.0.0, < 5.0.4, are at risk. This includes businesses relying on Firebird for data storage and applications that interact with the database. Shared hosting environments where multiple users share a Firebird instance are also at increased risk, as a compromised user could potentially exploit the vulnerability.
• linux / server:
journalctl -u firebird -f | grep "division by zero"• database (mysql):
SELECT version(); -- Check Firebird version against affected ranges.• generic web: Monitor Firebird server logs for errors related to SDL descriptors or slice packets. Look for unusual network traffic patterns targeting the Firebird port.
disclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
Vetor CVSS
Para mitigar este risco, recomenda-se fortemente atualizar para uma versão do Firebird que inclua a correção. As versões 5.0.4, 4.0.7 e 3.0.14 contêm a solução para esta vulnerabilidade. Se não for possível atualizar imediatamente, recomenda-se revisar as práticas de segurança da rede para limitar a exposição do servidor Firebird. Isso pode incluir a restrição do acesso à rede, a implementação de firewalls e o monitoramento do tráfego de rede em busca de padrões suspeitos. É fundamental aplicar a atualização o mais rápido possível para proteger os dados e a integridade do sistema.
Actualice a la versión 3.0.14, 4.0.7 o 5.0.4 de Firebird para mitigar la vulnerabilidad. Esta actualización corrige un error que permite a un atacante enviar un paquete de rebanada malicioso para causar un fallo en el servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um pacote de fatias é um formato de dados usado pelo Firebird para transferir dados entre o cliente e o servidor. Ele contém informações sobre a estrutura dos dados, incluindo descritores SDL.
Você pode verificar a versão do Firebird executando o comando SELECT VERSION() em qualquer cliente conectado ao banco de dados.
Se não puder atualizar imediatamente, implemente medidas de segurança adicionais, como restringir o acesso à rede e monitorar o tráfego.
Atualmente, não existem ferramentas específicas disponíveis para detectar esta vulnerabilidade. A melhor maneira de determinar a vulnerabilidade é verificar a versão do Firebird que você está usando.
CVSS 7.5 é uma pontuação de severidade que indica um risco significativo. Um valor mais alto indica um risco potencial maior.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.