2017-1998: PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. die Manipulation von Dateien
Historie:
- Version 1 (2017-11-10 14:40)
- Neues Advisory
- Version 2 (2017-11-14 16:05)
- Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 Sicherheitsupdates für die dort eingesetzten Versionszweige von PostgreSQL bereit, mit denen die Schwachstellen CVE-2017-15098 und CVE-2017-15099 behoben werden. Ubuntu Linux 14.04 LTS ist von CVE-2017-15099 nicht betroffen.
- Version 3 (2017-12-21 13:32)
- Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Versionen 12 SP2 und 12 SP3 sowie für Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates auf die PostgreSQL Version 9.6.6 zur Verfügung, über welche die Schwachstellen CVE-2017-15098 und CVE-2017-15099 behoben werden.
- Version 4 (2017-12-27 12:23)
- Für openSUSE Leap 42.2 und 42.3 stehen zur Behebung der Schwachstellen CVE-2017-15098 und CVE-2017-15099 Sicherheitsupdates für PostgreSQL auf Version 9.6.6 bereit.
Betroffene Software
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
UNIX
Beschreibung:
Eine Schwachstelle in PostgreSQL ermöglicht einem entfernten, nicht authentisierten Angreifer die Manipulation von allen Dateien des Systems. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung eines Denial-of-Service-Angriffs und möglicherweise das Ausspähen von Informationen sowie das Umgehen von Sicherheitsvorkehrungen.
Der Hersteller bietet die Versionen 10.1, 9.6.6, 9.5.10, 9.4.15, 9.3.20 und 9.2.24 von PostgreSQL an, um die Schwachstellen zu beheben. Die Version 9.2.24 ist die voraussichtlich letzte Veröffentlichung für diesen Versionszweig.
Für Fedora 25, 26 und 27 stehen Sicherheitsupdates in Form der Pakete 'postgresql-9.5.10-1.fc25', 'postgresql-9.6.6-1.fc26' und 'postgresql-9.6.6-1.fc27' an. Das Update für Fedora 27 befindet sich bereits im Status 'testing', während die anderen Updates noch den Status 'pending' besitzen.
Debian stellt Sicherheitsupdates für die alte stabile Distribution (Jessie) und für die stabile Distribution (Stretch) in den Versionen '9.4.15-0+deb8u1' und '9.6.6-0+deb9u1' bereit.
Schwachstellen:
CVE-2017-12172
Schwachstelle in PostgreSQL ermöglicht Manipulation von DateienCVE-2017-15098
Schwachstelle in PostgreSQL ermöglicht Denial-of-Service-AngriffCVE-2017-15099
Schwachstelle in PostgreSQL ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.