Auswirkungen der Schwachstelle CVE-2026-40342 auf unsere Produkte
Eine Sicherheitslücke im Produkt Firebird vom Anbieter FirebirdSQL (CVE-2026-40342) wurde identifiziert.
I. Zusammenfassung der Sicherheitslücke
Firebird ist ein Open-Source-Datenbankmanagementsystem. In den Versionen vor 5.0.4, 4.0.7 und 3.0.14 fügt der Loader für externe Engine-Plugins einen vom Benutzer angegebenen Engine-Namen in einen Dateisystempfad ein, ohne dabei Pfadtrennzeichen oder „..“-Komponenten zu filtern. Ein authentifizierter Benutzer mit CREATE FUNCTION-Rechten kann einen manipulierten ENGINE-Namen verwenden, um über Path Traversal eine beliebige gemeinsam genutzte Bibliothek von einem beliebigen Ort im Dateisystem zu laden. Der Initialisierungscode der Bibliothek wird unmittelbar während des Ladens ausgeführt, bevor Firebird das Modul validiert, wodurch eine Codeausführung als das Betriebssystemkonto des Servers erreicht wird.
Dieses Problem wurde in den Firebird Versionen 5.0.4, 4.0.7 und 3.0.14 behoben.
Dieses Problem wurde in den Firebird Versionen 5.0.4, 4.0.7 und 3.0.14 behoben.
II. Auswirkungen auf unsere Produkte
Folgende Produkte von TA Triumph-Adler und UTAX sind betroffen, wenn die betroffenen Versionen von Firebird vor 5.0.4, 4.0.7 und 3.0.14 genutzt werden:
- aQrate – Gegenmaßnahme: Aktualisieren Sie Firebird in der nächsten Version von Central und Print Server auf Version 4.0.7.
aQrate PS 8.2 p60, CS 8.2 p44 (RTM: Juli/August 2026). aQrate PS 10.2 p24, CS 10.2 p24 (RTM: Juli/August 2026). - NDM (Network Device Manager) – Gegenmaßnahme: Das Problem wird in DM 4.1 behoben. (RTM: August 2026).
- NPM (Network Print Monitor) – Gegenmaßnahme: Das Problem wird in KNV 6.14 behoben. (RTM: Dezember 2026).