DFN-CERT

Advisory-Archiv

2020-1589: PostgreSQL JDBC Driver: Eine Schwachstelle ermöglicht einen XML-eXternal-Entity-Angriff

Historie:

Version 1 (2020-07-22 15:17)
Neues Advisory
Version 2 (2020-07-29 11:43)
Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'postgresql-jdbc' adressiert wird.
Version 3 (2020-07-30 15:54)
Für Fedora 32 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'postgresql-jdbc' im Status 'pending' zur Verfügung. Auch für Oracle Linux 8 (x86_64, aarch64) steht 'postgresql-jdbc' als Sicherheitsupdate bereit.
Version 4 (2020-08-04 16:32)
Für die Red Hat Enterprise Linux Produkte Server, Workstation, Desktop und for Scientific Computing 6 und 7 sowie für Red Hat Enterprise Linux - Extended Update Support 8.1 für x86_64- und ARM 64-Architekturen stehen Sicherheitsupdates zur Behebung der Schwachstelle bereit. Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen ebenfalls Sicherheitsupdates für 'postgresql-jdbc' zur Verfügung.
Version 5 (2020-12-14 17:58)
Für SUSE Linux Enterprise Module for SUSE Manager Server 4.1 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'postgresql-jdbc' zur Verfügung.
Version 6 (2021-02-25 17:49)
Für SUSE Linux Enterprise Server 12 SP5 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'postgresql-jdbc' zur Verfügung.

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter Angreifer kann einen XML-eXternal-Entity (XXE)-Angriff durchführen und bei einem erfolgreichen Angriff Informationen ausspähen, einen Denial-of-Service (DoS)-Zustand auslösen und die Integrität betroffener Komponenten beeinträchtigen.

Red Hat informiert darüber, dass die Schwachstelle den Debezium PostgreSQL-Konnektor betrifft und stellt zu deren Behebung für Red Hat Enterprise Linux 7 und 8 ein Sicherheitsupdate auf Version 1.1.3 bereit.

Schwachstellen:

CVE-2020-13692

Schwachstelle in PostgreSQL JDBC Driver ermöglicht XML-External-Entity-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.