DFN-CERT

Advisory-Archiv

2019-1259: PostgreSQL: Eine Schwachstelle ermöglicht u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-06-21 11:55)
Neues Advisory
Version 2 (2019-07-09 18:02)
Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP4, Desktop 12 SP4, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 BCL und LTSS, 12 SP3 LTSS und 12 SP4, Server for SAP 12 SP1, 12 SP2 und 12 SP3 sowie SUSE OpenStack Cloud 7 und 8 sowie SUSE Enterprise Storage 4 und 5 stehen Sicherheitsupdates für 'postgresql10' auf Version 10.9 bereit.
Version 3 (2019-08-06 11:35)
SUSE veröffentlicht für die SUSE Linux Enterprise Server Produktversionen 12 SP3 LTSS und 12 SP3 BCL sowie SUSE OpenStack Cloud Crowbar 8 Sicherheitsupdates auf die PostgreSQL Version 10.9 zur Behebung der referenzierten Schwachstelle.
Version 4 (2019-08-19 13:41)
Für SUSE Enterprise Storage 5 steht ein Sicherheitsupdate für 'postgresql10' auf Version 10.9 bereit, um die Schwachstelle zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Oracle
UNIX

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer kann eine Schwachstelle in PostgreSQL ausnutzen, um den PostgreSQL-Server zum Absturz zu bringen und beliebigen Programmcode mit den Rechten des PostgreSQL-Benutzerkontos auf dem Server auszuführen. Darüber hinaus kann die Schwachstelle mit Hilfe eines speziell präparierten PostgreSQL-Servers während des SCRAM-Authentifizierungsprozesses ausgenutzt werden, um einen auf libpq aufbauenden Client zum Absturz zu bringen oder beliebigen Programmcode mit dem Betriebssystem-Benutzerkonto eines PostgreSQL-Benutzers auszuführen.

Der Hersteller stellt PostgreSQL 11.4 und 10.9 als Sicherheitsupdates zur Verfügung. Ältere Versionen der Software sind nicht betroffen. Die Schwachstelle kann durch anschließenden Neustart des Servers und bestehender libpq-Installationen behoben werden. Aufgrund des Schweregrads der Schwachstelle sollten die verfügbaren Sicherheitsupdates zeitnah eingespielt werden.

Canonical stellt für Ubuntu 19.04, 18.10 und 18.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2019-10164

Schwachstelle in PostgreSQL ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.