つみかさね

CVE-2026-27890

High(8.2)

CVE-2026-27890 — Firebird 認証不要サーバクラッシュ

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FirebirdFirebirdSQL< 5.0.4, < 4.0.7, < 3.0.14

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Firebirdのバージョンを確認する
  2. 2修正バージョン(5.0.4 / 4.0.7 / 3.0.14)へアップデートする
  3. 3Firebirdポートが外部に公開されていないか確認する

影響対象

Firebird利用者

補足

  • -本日はFirebird関連のクラッシュ脆弱性が複数報告されており、一括対応を推奨
CVEFirebirdDoSデータベース

概要

オープンソースRDBMS「Firebird」のバージョン5.0.4 / 4.0.7 / 3.0.14未満に、認証不要でサーバをクラッシュさせる脆弱性が存在します。

認証時の CNCT_specific_data セグメント処理において、サーバはセグメントが厳密に昇順で到着することを前提としています。セグメントが順序外で到着した場合、Arrayクラスの grow() メソッドが負のサイズ値を計算し、SIGSEGVクラッシュを引き起こします。攻撃者はサーバのIPアドレスとポート番号のみでサーバを停止できます。

CVSSベクトル

指標
CVSSスコア8.2(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベルなし
CWECWE-787(境界外書き込み)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
FirebirdFirebirdSQL5.0.4未満5.0.4
FirebirdFirebirdSQL4.0.7未満4.0.7
FirebirdFirebirdSQL3.0.14未満3.0.14

修正バージョンと回避策

  • 修正: Firebird 5.0.4、4.0.7、3.0.14以降へアップデート
  • 回避策: ファイアウォールでFirebirdポートへの外部アクセスを制限

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-28224Firebird NULLポインタ参照クラッシュCVSS 8.2CVE-2026-28212Firebird op_slice NULLポインタクラッシュCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-27890
GHSA:https://github.com/FirebirdSQL/firebird/security/advisories/GHSA-6crx-4g37-7j49
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。