2020-2764: PostgreSQL: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen SQL-Programmcodes mit Superuser-Rechten

Historie:

Version 1 (2020-12-21 12:06)

Neues Advisory

Version 2 (2020-12-23 12:47)

Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'postgresql:9.6' und 'postgresql:12' bereit, um die Schwachstellen zu beheben.

Version 3 (2021-01-18 13:36)

Für Red Hat Enterprise Linux 8.2 Extended Update Support stehen Sicherheitsupdates für die Module 'postgresql:9.6' und 'postgresql:12' zur Behebung der jeweiligen Schwachstellen bereit.

Version 4 (2021-01-19 10:13)

Für Red Hat Enterprise Linux 8.1 Extended Update Support stehen Sicherheitsupdates für die Module 'postgresql:9.6' und 'postgresql:10' auf die aktuellen Versionen 9.6.20 und 10.15 zur Behebung der jeweiligen Schwachstellen bereit. Das Update für 'postgresql:10' adressiert zusätzlich CVE-2019-10164 (hier hinzugefügt), die Schwachstelle CVE-2020-14349 wird im Sicherheitshinweis für 'postgresql:9.6' nicht erwähnt.

Betroffene Software

Server

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Privilegien zu eskalieren, Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode (teils mit den Rechten des Administrators oder des Benutzers) auszuführen. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für die Module 'postgresql:9.6' und 'postgresql:12' zur Behebung der jeweiligen Schwachstellen bereit.

Schwachstellen:

CVE-2019-10130

Schwachstelle in PostgreSQL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-10164

Schwachstelle in PostgreSQL ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2019-10208

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14349

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-14350

Schwachstelle in PostgreSQL ermöglicht u. a. Privilegieneskalation

CVE-2020-1720

Schwachstelle in PostgreSQL ermöglicht Manipulation von Dateien

CVE-2020-25694

Schwachstelle in PostgreSQL ermöglicht Man-in-the-Middle-Angriff

CVE-2020-25695

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen SQL-Programmcodes mit Superuser-Rechten

CVE-2020-25696

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.