2017-0837: PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-05-12 19:39): Neues Advisory
Version 2 (2017-05-15 11:14): Debian stellt für die stabile Distribution Jessie ein Backport-Sicherheitsupdate für PostgreSQL bereit.
Version 3 (2017-05-29 14:44): Die PostgreSQL Global Development Group informiert ebenfalls in einer Sicherheitsmeldung (PostgreSQL Security Announcement) über die Schwachstellen und benennt dort auch die Versionen 9.4.12, 9.3.17 und 9.2.21 als Sicherheitsupdates, wobei die Version 9.2.21 die Schwachstelle CVE-2017-7485 nicht adressiert, da die 9.2.x-Versionen von dieser nicht betroffen sind.
Version 4 (2017-05-31 12:26): SUSE veröffentlicht für die SUSE Linux Enterprise Produktvarianten Server for SAP 12 und Server 12 LTSS postgresql93-Sicherheitsupdates zur Behebung der Schwachstellen.
Version 5 (2017-06-07 11:37): Für openSUSE Leap 42.2 steht PostgreSQL in der Version 9.3.17 als Sicherheitsupdate bereit, über welches neben den drei Schwachstellen auch eine Reihe von Bugs behoben werden.
Version 6 (2017-06-26 20:27): Für die SUSE Linux Enterprise Produkte Desktop, Server, Server for Raspberry Pi und Software Development Kit in Version 12 SP2 stehen Sicherheitsupdates für 'postgresql94' bereit, mit denen die Software auf Version 9.4.12 aktualisiert wird und die Schwachstellen behoben werden.
Version 7 (2017-07-05 10:25): Für openSUSE Leap 42.2 steht ein weiteres Sicherheitsupdate, diesmal in Form der PostgreSQL Version 9.4.12, zur Behebung der Schwachstellen bereit.
Version 8 (2017-07-05 14:37): Red Hat hat für Red Hat Software Collections 1 for RHEL 6 und Red Hat Software Collections 1 for RHEL 7 jeweils Sicherheitsupdates für 'rh-postgresql95-postgresql' auf Version 9.5.7 und 'rh-postgresql94-postgresql' auf Version 9.4.12 bereitgestellt, um diese Schwachstellen zu beheben.
Version 9 (2017-07-06 11:08): Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates zur Behebung der PostgreSQL-Schwachstellen bereit.
Version 10 (2017-08-01 11:20): Red Hat stellt für Red Hat Satellite, Red Hat Satellite ELS, Red Hat Satellite ManagedDB sowie Red Hat Satellite ManagedDB ELS in der Version 5.8 für Red Hat Enterprise Linux 6 Sicherheitsupdates für 'rh-postgresql95-postgresql' bereit. Red Hat weist darauf hin, dass die Migration von 'postgresql92-postgresql' auf 'rh-postgresql95-postgresql' manuelle Schritte erfordert. Betroffene Satelliten verwenden PostgreSQL 9.2 weiter, sollten diese Schritte nicht unternommen werden.
Version 11 (2017-08-02 13:48): Red Hat stellt für verschiedene Red Hat Enterprise Linux Releases aus den Bereichen Client, ComputeNode, Server und Workstation Sicherheitsupdates für 'postgresql' bereit, um die Schwachstellen CVE-2017-7484 und CVE-2017-7486 zu beheben. Mit dem im Rahmen des Releases von Red Hat Enterprise Linux 7.4 veröffentlichten Updates wird 'postgresql' auf Version 9.2.21 aktualisiert.
Version 12 (2017-08-09 13:48): Oracle stellt für Oracle Linux 7 (x86_64) das Paket 'postgresql-9.2.21-1.el7' als Sicherheitsupdate zur Verfügung, um die Schwachstellen CVE-2017-7484 und CVE-2017-7486 zu beheben. Damit wird PostgreSQL in Oracle Linux 7 auf Version 9.2.21 aktualisiert.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Eine Schwachstelle in PostgreSQL ermöglicht es einem entfernten, nicht authentisierten Angreifer Sicherheitsvorkehrungen zu umgehen und darüber Informationen auszuspähen oder Daten zu manipulieren. Zwei weitere Schwachstellen ermöglichen zudem einem einfach authentisierten Angreifer im benachbarten Netzwerk das Ausspähen von Informationen, in einem Fall können dies sogar Benutzerkennwörter sein.

Für Fedora 24 und 25 steht PostgreSQL in der Version 9.5.7 und für Fedora 26 in der Version 9.6.3 als Sicherheitsupdate zur Verfügung. Zusätzlich steht für Fedora 26 das Paket 'mingw-postgresql-9.6.3-1.fc26' als Sicherheitsupdate bereit. Das Sicherheitsupdate für Fedora 25 befindet sich im Status 'testing', während die anderen noch im Status 'pending' sind.

Schwachstellen:

CVE-2017-7484

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

CVE-2017-7485

Schwachstelle in PostgreSQL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7486