OGS/Firebird Sicherheitslücke!

Firebird CVE-2025-24975 / EUVD-2025-25030

Sicherheitshinweis

Auf der Firebird Homepage wurde ein Sicherheitsproblem für den Firebird Datenbankserver veröffentlicht. Dieser Datenbankserver wird in OGS verwendet und bei der Installation mitinstalliert. Das Problem wird als CVE-2025-24975 / EUVD-2025-25030 veröffentlicht und es wurde ein Update bereitgestellt, welches das Problem beseitigt.

Bedeutung für OGS-Desktop-Installationen

Die Installationsprogramme für OGS V3 und V3.1 (bis einschließlich V3.1.6) installieren die Firebird Serverversion V4.0.2, welche vom oben genannten Sicherheitsproblem betroffen ist.

Das Sicherheitsproblem kann nur ausgenutzt werden, wenn Zugriff auf den TCP Port 3050 möglich ist. Standardmäßig wird der TCP Port durch die Windows-Firewall blockiert, sodass Zugriffe von außen normalerweise nicht möglich sind.

Bedeutung für Server-Installationen

Falls eine Standalone-Installation eines Firebird-Datenbankservers verwendet wird, dann sollte die installierte Version (wie im Firebird Security Alert beschrieben) geprüft werden. Alle Versionen <= V4.0.6.3203 sind verwundbar und müssen aktualisiert werden!

Mitigations

Ein Update für OGS mit aktualisiertem Firebird-Datenbankserver (V4.0.6.3203) wird in den nächsten Tagen zur Verfügung gestellt.

Bis dahin sollten die folgenden Maßnahmen ergriffen werden um ein Ausnützen der Lücke zu verhindern:

Die Lücke kann nur ausgenutzt werden kann, wenn die Einstellung „ExtConnPoolSize“ in der Datei „firebird.conf“ (c:\Program Files (x86)\Firebird\Firebird_4_0) auf einen Wert ungleich Null eingestellt ist. Ändern des Parameters auf ExtConnPoolSize=0 und Neustart des Datenbankdienstes stellt sicher, dass die Lücke nicht ausgenutzt werden kann.
Windows Firewall: Sicherstellen, dass die Windows-Firewall eingehende Zugriffe auf TCP Port 3050 für externen Zugriff blockiert.
Manuelles Upgrade der Firebirdserver-Installation. Der vom OGS-Installer installierte Firebird-Datenbankserver kann wie folgt durch die „offizielle“ Version von https://firebirdsql.org/en/firebird-4-0 wie folgt ersetzt werden:
- Löschen des bestehenden Firebird-SQL-Servers durch Start (mit Administrativen Rechten) von „uninstall_service.bat“ (in c:\Program Files (x86)\Firebird\Firebird_4_0)
- Herunterladen und Installieren des „offiziellen“ Win32-Installers von https://github.com/FirebirdSQL/firebird/releases/download/v4.0.6/Firebird-4.0.6.3221-0-Win32.exe

Bei weiteren Fragen bitte melden!