2018-0409: PostgreSQL: Eine Schwachstelle ermöglicht die Eskalation von Privilegien

Historie:

Version 1 (2018-03-01 18:15)

Neues Advisory

Version 2 (2018-03-06 13:38)

Canonical stellt für Ubuntu Linux 17.10, 16.04 LTS und 14.04 LTS Sicherheitsupdates auf die jeweils aktuellen in den Distributionen eingesetzten Versionen von PostgreSQL bereit.

Version 3 (2018-03-19 11:26)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'postgresql95' auf PostgreSQL 9.5.12 bereit, um die Schwachstelle zu beheben.

Version 4 (2018-03-21 16:56)

Für die SUSE Linux Enterprise Produktvarianten Software Development Kit, Server und Desktop in der Version 12 SP2 und 12 SP3 sowie Server for Raspberry Pi 12 SP2 stehen Sicherheitsupdates für das Paket 'postgresql96' zur Behebung der Schwachstelle zur Verfügung. Für die Produktvarianten Software Development Kit, Server und Debuginfo 11 SP4 stehen Sicherheitsupdates für das Paket 'postgresql94' zur Behebung der Schwachstelle bereit.

Version 5 (2018-03-22 10:56)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für das Paket 'postgresql96' auf Version 9.6.8 zur Behebung der Schwachstelle zur Verfügung.

Version 6 (2018-04-06 11:18)

SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit, Server for Raspberry Pi, Server und Desktop in der Version 12 SP2 Sicherheitsupdates auf die PostgreSQL Version 9.4.17 bereit, um die referenzierte Schwachstelle zu beheben.

Version 7 (2018-04-06 15:38)

openSUSE veröffentlicht für die Distribution openSUSE Leap 42.3 Sicherheitsupdates auf die PostgreSQL Version 9.4.17, um die Schwachstelle zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Oracle
UNIX

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer kann eine Schwachstelle in PostgreSQL ausnutzen, um die beabsichtigten Funktionen von PostgreSQL zu ändern. Der Angreifer muss dazu ein Objekt im Schema 'public' erstellen und einen Benutzer der Software zum Zugriff auf ein gleichnamiges Objekt aus einem anderen Namensraum verleiten oder auf die Verwendung eines solchen Objekts warten. Ist der Benutzer Administrator, kann der Angreifer so beispielsweise seine Privilegien im Kontext von PostgreSQL beliebig eskalieren.

Die PostgreSQL Global Development Group informiert über die Schwachstelle in allen aktuellen Versionen von PostgreSQL und stellt die Versionen 10.3, 9.6.8, 9.5.12, 9.4.17 und 9.3.22 als Sicherheitsupdates bereit.

Für Fedora 26 und 27 stehen Sicherheitsupdates auf die Version 9.6.8 im Status 'pending' zur Verfügung.

Schwachstellen:

CVE-2018-1058

Schwachstelle in PostgreSQL ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.