DFN-CERT

Advisory-Archiv

2019-1658: PostgreSQL: Mehrere Schwachstellen ermöglich u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-08-09 18:16)
Neues Advisory
Version 2 (2019-08-12 16:15)
Für Fedora 29 steht ein Sicherheitsupdate in Form des Paketes 'postgresql-10.10-1' im Status 'testing' bereit.
Version 3 (2019-08-22 12:36)
Für Fedora 29 und 30 Modular stehen Sicherheitsupdates jeweils für 'postgresql:9.6' auf Version 9.6.15 und für 'postgresql:10' auf Version 10.10 im Status 'testing' bereit.
Version 4 (2019-08-26 12:08)
Für Fedora 29 und 30 Modular stehen Sicherheitsupdates für 'postgresql:11' auf Version 11.5 im Status 'testing' bereit.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Oracle
UNIX

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen. Zwei weitere Schwachstellen ermöglichen einem lokalen, einfach authentisierten Angreifer das Ausspähen von Informationen und die Ausführung beliebigen Programmcodes.

Der Hersteller informiert über die Schwachstellen und stellt die Versionen 11.5, 10.10, 9.6.15, 9.5.19 und 9.4.24 bereit, um die zwei Schwachstellen in PostgreSQL Server (CVE-2019-10208, CVE-2019-10209) und die zwei Schwachstellen in PostgreSQL Windows Installer (CVE-2019-10210 und CVE-2019-10211) sowie 40 weitere Bugs zu beheben.

Canonical veröffentlicht für die Distributionen Ubuntu 19.04, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'postgresql-11', 'postgresql-10' und 'postgresql-9.5' um die Schwachstellen im PostgreSQL Server zu schließen.

Debian stellt für die Distributionen Jessie (LTS), Stretch (oldstable) und Buster (stable) für die Pakete 'postgresql-9.4', 'postgresql-9.6' und 'postgresql-11' die Versionen 9.4.24-0+deb8u1, 9.6.15-0+deb9u1und 11.5-1+deb10u1 bereit, um die Schwachstellen CVE-2019-10208 und CVE-2019-10209 zu beheben.

Für Fedora 30 stehen Sicherheitsupdates in Form der Pakete 'libpq-11.5-1' und 'postgresql-11.5-1' bereit, welche sich noch im Status 'pending' befinden.

Schwachstellen:

CVE-2019-10208

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10209

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

CVE-2019-10210

Schwachstelle in PostgreSQL ermöglicht Ausspähen von Informationen

CVE-2019-10211

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.