2019-1406: PostgreSQL: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-07-11 13:46)

Neues Advisory

Version 2 (2019-07-22 14:29)

Für openSUSE Leap 15.0 und 15.1 stehen Sicherheitsupdates für 'postgresql10' zur Verfügung, mit denen die beiden Schwachstellen behoben werden.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, einfach authentifizierter Angreifer kann eine Schwachstelle in PostgreSQL ausnutzen, um einen Denial-of-Service (DoS)-Angriff gegen den PostgreSQL-Server durchzuführen oder beliebigen Programmcode mit den Rechten des PostgreSQL-Benutzerkontos auf dem Server auszuführen. Umgekehrt ist es auch möglich mit Hilfe eines speziell präparierten PostgreSQL-Servers entsprechende Angriffe gegen auf libpq aufbauende Clients durchzuführen, wobei Programmcode mit dem Betriebssystem-Benutzerkonto eines PostgreSQL-Benutzers ausgeführt werden kann. Eine weitere Schwachstelle ermöglicht einem entfernten, einfach authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Für SUSE Linux Enterprise Module for Server Applications, Module for Packagehub Subpackages, Module for Open Buildservice Development Tools und Module for Basesystem jeweils in Version 15 stehen Sicherheitsupdates von 'postgresql10' zur Verfügung.

Schwachstellen:

CVE-2019-10130

Schwachstelle in PostgreSQL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10164

Schwachstelle in PostgreSQL ermöglicht u. a. Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.