2017-1416: PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-08-11 13:36)

Neues Advisory

Version 2 (2017-08-14 11:43)

Für Fedora 25 und 26 stehen mit den Paketen 'postgresql-9.5.8-1.fc25' und 'postgresql-9.6.4-1.fc26' Sicherheitsupdates auf aktuelle Versionen von PostgreSQL im Status 'testing' bereit. Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate auf die Version 9.6.4 und für die alte stabile Distribution Jessie ein Sicherheitsupdate auf Version 9.4.13 bereit.

Version 3 (2017-08-16 11:34)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS aktualisierte 'postgresql'-Pakete als Sicherheitsupdates bereit. Für Ubuntu 17.04 wird das 'postgresql-9.6'-Paket, für Ubuntu 16.04 LTS das 'postgresql-9.5'- und für Ubuntu 14.04 LTS das 'postgresql-9.3'-Paket aktualisiert.

Version 4 (2017-08-23 11:34)

Für SUSE Linux Enterprise Server 12 LTSS und Server für SAP 12 stehen Sicherheitsupdates auf die Postgresql93 Version 9.3.18 zur Behebung der Schwachstellen bereit.

Version 5 (2017-08-28 11:23)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen Sicherheitsupdates auf die Postgresql94 Version 9.4.13 zur Behebung der Schwachstellen zur Verfügung.

Version 6 (2017-08-31 10:50)

Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates auf die Postgresql93 Version 9.3.18 bereit, um diese Schwachstellen zu beheben.

Version 7 (2017-09-06 13:47)

Für SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3, Desktop 12 SP2 und 12 SP3, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3, Server for SAP 12 und 12 SP1, Server for Raspberry Pi 12 SP2 sowie SUSE OpenStack Cloud 6 stehen Sicherheitsupdates für 'postgresql94' und 'postgresql96' bereit, um diese Schwachstellen zu beheben.

Version 8 (2017-09-11 11:37)

Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates für 'postgresql94' und 'postgresql96' zur Behebung der Schwachstellen zur Verfügung.

Version 9 (2017-09-12 16:21)

Red Hat stellt die Pakete 'rh-postgresql94-postgresql-9.4.14-1' und 'rh-postgresql95-postgresql-9.5.9-1' für die Red Hat Software Collections 1 für die Red Hat Enterprise Linux 6 und 7 Varianten Server und Workstation als Sicherheitsupdates bereit.

Version 10 (2017-09-14 15:44)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Scientific Computing sowie die Versionen Server EUS 7.4, Server AUS 7.4, Server TUS 7.4, Server for ARM 7 und EUS Compute Node 7.4 Sicherheitsupdates für PostgreSQL. Mittels der Pakete, die ein Upgrade auf die Version 9.2.23 darstellen, werden die Schwachstellen CVE-2017-7546 und CVE-2017-7547 behoben. Die Schwachstelle CVE-2017-7548 existiert im Versionszweig 9.2 nicht.

Version 11 (2017-09-15 11:28)

Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate auf die PostgreSQL Version 9.2.23 zur Verfügung, mit dem die Schwachstellen CVE-2017-7546 und CVE-2017-7547 behoben werden.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in PostgreSQL ermöglicht einem entfernten, nicht authentisierten Angreifer, sich ohne Passwort an betroffenen Systemen anzumelden und dadurch weitere Angriffe durchzuführen. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer die Eskalation seiner Privilegien, um dadurch möglicherweise sensitive Informationen auszuspähen und Daten zu manipulieren.

Der Hersteller stellt die Versionen 9.6.4, 9.5.8, 9.4.13, 9.3.18 und 9.2.22 als Sicherheitsupdates bereit und kündigt an, dass der Versionszweig 9.2 ab September nicht weiter unterstützt wird (End-of-Life). Darüber hinaus weist der Hersteller darauf hin, dass der Patch für CVE-2017-7547 nur neu erstellte Cluster beeinflusst. Für bereits bestehende Cluster findet sich eine detaillierte Anleitung im Sicherheitshinweis.

Für das MinGW-Projekt in Fedora 26 steht mit dem Paket 'mingw-postgresql-9.6.4-1.fc26' ein Sicherheitsupdate auf Version 9.6.4 im Status 'pending' bereit.

Schwachstellen:

CVE-2017-7546

Schwachstelle in PostgreSQL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2017-7547

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

CVE-2017-7548

Schwachstelle in PostgreSQL ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.