DFN-CERT

Advisory-Archiv

2018-0354: PostgreSQL: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-02-21 14:52)
Neues Advisory
Version 2 (2018-02-22 17:02)
Für openSUSE Leap 42.3 steht jetzt ein Sicherheitsupdate für 'postgresql96' auf Version 9.6.7 zur Verfügung.
Version 3 (2018-02-23 11:21)
Für openSUSE Leap 42.3 wird ein Sicherheitsupdate auf die PostgreSQL Version 9.5.11 veröffentlicht. Neben der Schwachstelle, die mit dem Update von der Version 9.5.10 auf 9.5.11 behoben wurde, werden weitere fünf Schwachstellen in Vorgängerversionen referenziert, die mit dem Versionsupdate ebenfalls adressiert werden. Diese erlauben zusätzlich zum Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen, die Eskalation von Privilegien und einen Denial-of-Service-Angriff.
Version 4 (2018-03-15 16:04)
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server For Raspberry Pi, Server sowie Desktop in der Version 12 SP2 steht ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2018-1053 in 'postgresql94'. Im Sicherheitshinweis wird die Version 9.4.15 Zielversion für das Update angegeben, die dort aufgeführten Paketnamen deuten auf die Version 9.4.16 hin. Die Schwachstelle wurde vom Hersteller in Version 9.4.16 behoben.
Version 5 (2018-03-15 16:32)
Für openSUSE Leap 42.3 steht ebenfalls das Sicherheitsupdate für 'postgresql94' zur Verfügung. Auch hierbei wird im Sicherheitshinweis die Version 9.4.15 als Zielversion für das Update angegeben, während die Paketnamen auf Version 9.4.16 hindeuten.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein lokaler, einfach authentisierter Angreifer kann eine Datei von PostgreSQL ausspähen, welche möglicherweise sensible Informationen wie Anmeldedaten enthält.

Für die SUSE Linux Enterprise Produktvarianten Debuginfo, Software Development Kit und Server in der Version 11 SP4 stehen Sicherheitsupdates für PostgreSQL ('postgresql94') auf Version 9.4.16 und für SUSE Linux Enterprise Software Development Kit, Desktop und Server in Version 12 SP2 und 12 SP3 sowie SUSE Linux Enterprise Server for Raspberry Pi in Version 12 SP2 für 'postgresql96' auf Version 9.6.7 zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-1053

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.