2020-2656: PostgreSQL: Mehrere Schwachstellen ermöglichen u. a. Ausführen beliebigen SQL-Programmcodes mit Superuser-Rechten
Historie:
- Version 1 (2020-12-07 12:15)
- Neues Advisory
- Version 2 (2021-01-14 09:38)
- Für Fedora 32 und 33 Modular stehen Sicherheitsupdates in Form der Pakete 'postgresql-10-3220210113115521.43bbeeef', 'postgresql-11-3220210113151114.43bbeeef' und 'postgresql-10-3320210113115521.601d93de' im Status 'testing' bereit, welche diese Schwachstellen adressieren.
- Version 3 (2021-01-15 11:08)
- Für Fedora 33 Modular steht nun das Sicherheitsupdate in Form des Pakets 'postgresql-11-3320210114142718.601d93de' im Status 'testing' bereit, welches diese Schwachstellen adressiert.
Betroffene Software
Server
Betroffene Plattformen
Netzwerk
Cloud
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode mit den Rechten des Administrators auszuführen und beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Für SUSE OpenStack Cloud 7, 8 und 9, Crowbar 8 und 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP2, 12 SP3 und 12 SP4, Server 12 SP2 BCL / LTSS, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 und für SUSE Enterprise Storage 5 stehen Sicherheitsupdates für 'postgresql12' zur Behebung der Schwachstellen zur Verfügung.
Schwachstellen:
CVE-2020-14349
Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-14350
Schwachstelle in PostgreSQL ermöglicht u. a. PrivilegieneskalationCVE-2020-25694
Schwachstelle in PostgreSQL ermöglicht Man-in-the-Middle-AngriffCVE-2020-25695
Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen SQL-Programmcodes mit Superuser-RechtenCVE-2020-25696
Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.