2020-1803: PostgreSQL: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-08-18 12:49)

Neues Advisory

Version 2 (2020-08-18 18:57)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS, High Performance Computing 15 LTSS und 15 ESPOS stehen Sicherheitsupdates für 'postgresql10' und für SUSE Linux Enterprise Module for Server Applications 15 SP2 und Module for Basesystem 15 SP2 stehen Sicherheitsupdates für 'postgresql12' zur Behebung dieser Schwachstellen bereit.

Version 3 (2020-08-19 10:20)

Für SUSE Linux Enterprise Module for Server Applications 15 SP1 und Module for Basesystem 15 SP1 stehen Sicherheitsupdates für 'postgresql12' auf Version 12.4 zur Behebung dieser Schwachstellen bereit.

Version 4 (2020-08-25 18:22)

Für openSUSE Leap 15.1 und 15.2 stehen Sicherheitsupdates für 'postgresql12' auf Version 12.4 zur Behebung dieser Schwachstellen bereit. Canonical stellt für Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'postgresql-12', 'postgresql-10' und 'postgresql-9.5' zur Behebung der beiden Schwachstellen bereit.

Version 5 (2020-08-28 10:12)

Für SUSE Linux Enterprise Module for Server Applications und Module for Basesystem jeweils in Version 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'postgresql10' zur Behebung der beiden Schwachstellen bereit.

Version 6 (2020-09-02 11:00)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'postgresql10' auf Version 10.14 zur Behebung der Schwachstellen bereit.

Version 7 (2020-09-03 10:22)

openSUSE veröffentlicht für die Distribution openSUSE Leap 15.2 ein Sicherheitsupdate für 'postgresql10' auf die Version 10.14, um die referenzierten Schwachstellen zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes und das Eskalieren von Privilegien. Beide Angriffe erfordern die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstellen und stellt die Versionen 12.4, 11.9, 10.14, 9.6.19 und 9.5.23 bereit, um diese Schwachstellen in PostgreSQL Server sowie über 50 weitere Bugs zu beheben.

Debian stellt für Debian 9 Stretch (LTS) für das Paket 'postgresql-9.6' die Version 9.6.19-0+deb9u1 bereit, um die Schwachstellen zu beheben.

Für openSUSE Leap 15.2 stehen Sicherheitsupdates für 'postgresql', 'postgresql96', 'postgresql10' und 'postgresql12' auf die aktuellen Versionen bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-14349

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14350

Schwachstelle in PostgreSQL ermöglicht u. a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.