2021-1034: PostgreSQL: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-05-14 14:05)

Neues Advisory

Version 2 (2021-05-17 09:41)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate auf Basis von PostgreSQL 9.6.22 zur Verfügung, mit dem die Schwachstellen CVE-2021-32027 und CVE-2021-32028 behoben werden.

Version 3 (2021-05-28 08:59)

Für SUSE Linux Enterprise Software Development Kit 12 SP5 und SUSE Linux Enterprise Server 12 SP5 stehen Sicherheitsupdates für 'postgresql10', 'postgresql12' und 'postgresql13' auf die aktuellen Releases 10.17, 12.7 und 13.3 bereit, um die Schwachstellen zu beheben. Für 'postgresql10' werden dabei nur die Schwachstellen CVE-2021-32027 und CVE-2021-32028 referenziert, für 'postgresql12' zusätzlich die Schwachstelle CVE-2021-3393, welche mit Version 12.6 behoben wurde. Für SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP2 sowie SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3 stehen ebenfalls Sicherheitsupdates für 'postgresql13' zur Verfügung.

Version 4 (2021-06-02 09:04)

Canonical stellt für Ubuntu 21.04, Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'postgresql-10', 'postgresql-12' und 'postgresql-13' bereit, um diese Schwachstellen zu beheben.

Version 5 (2021-06-10 11:25)

Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 / ARM 8, Extended Update Support 8.4 sowie Red Hat Enterprise Linux Server AUS / TUS 8.4 (x86_64) Sicherheitsupdates für 'postgresql:9.6' und aktualisiert damit auf die PostgreSQL Version 9.6.22 sowie für 'postgresql:10' und aktualisiert hier auf die Upstream Version 10.17.

Version 6 (2021-06-11 11:48)

Für Oracle Linux 8 stehen Sicherheitsupdates für PostgreSQL auf die Versionen 9.6.22 und 10.17 zur Verfügung. Red Hat veröffentlicht für Red Hat Enterprise Linux 8 ein Sicherheitsupdate auf Version 13.3.

Version 7 (2021-06-11 19:36)

Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem PostgreSQL auf Version 12.7 aktualisiert wird. Mit dem Update werden auch Schwachstellen adressiert, die vom Hersteller bereits mit Version 12.6 behoben wurden.

Version 8 (2021-06-14 10:50)

Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem PostgreSQL auf Version 13.3 aktualisiert wird. Gleichzeitig wird 'pgaudit' in Version 1.5.0 bereitgestellt.

Version 9 (2021-06-15 10:07)

Für Red Hat Enterprise Linux 8.1 und 8.2 Extended Update Support stehen Sicherheitsupdates für PostgreSQL auf die Versionen 9.6.22, 10.17 und 12.7 zur Verfügung. Mit den Updates auf Version 12.7 wird auch die Schwachstelle CVE-2021-3393 (Ausspähen von Informationen vor PostgreSQL 12.6) adressiert. Die über Red Hat Software Collections verteilten Versionszweige von PostgreSQL werden auf Version 10.17 und 13.3 aktualisiert und für Red Hat Enterprise Linux 7 und 7.7. EUS bereitgestellt. Für SUSE Linux Enterprise Module for Server Applications 15 SP2, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und SUSE Linux Enterprise Module for Basesystem 15 SP2 stehen ebenfalls Sicherheitsupdates auf Version 10.17 zur Verfügung.

Version 10 (2021-06-18 12:39)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate bereit, mit dem die für 'postgresql10' relevanten Schwachstellen adressiert werden. Die betroffene Software wird damit auf Version 10.17 aktualisiert.

Version 11 (2021-06-18 14:25)

Für SUSE Linux Enterprise Module for Server Applications 15 SP2, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und SUSE Linux Enterprise Module for Basesystem 15 SP2 stehen Sicherheitsupdates bereit, mit denen 'postgresql12' auf Version 12.7 aktualisiert wird.

Version 12 (2021-07-12 10:11)

Für SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP3 steht ein Sicherheitsupdate für 'postgresql13' auf Version 13.3 zur Verfügung, um die Schwachstellen zu beheben.

Version 13 (2021-07-14 15:58)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'postgresql12' zur Verfügung, um die Schwachstellen zu beheben.

Version 14 (2021-07-14 16:11)

Für openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'postgresql10' zur Verfügung, um die Schwachstellen CVE-2021-32027 und CVE-2021-32028 zu beheben.

Version 15 (2021-07-14 16:36)

Auch für 'postgresql13' steht ein Sicherheitsupdate zur Behebung der Schwachstellen in openSUSE Leap 15.3 zur Verfügung. Die betroffene Software wird damit auf Version 13.3 aktualisiert.

Version 16 (2021-08-20 11:40)

Für SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS sowie SUSE Linux Enterprise High Performance Computing 15 LTSS und ESPOS stehen Sicherheitsupdates bereit, mit denen 'postgresql10' auf Version 10.17 aktualisiert wird.

Version 17 (2021-08-24 09:53)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für 'rh-postgresql10-postgresql' auf Version 10.17 bereit, um die Schwachstellen CVE-2021-32027 und CVE-2021-32028 zu beheben.

Version 18 (2021-10-21 12:14)

Für SUSE Linux Enterprise Server 12 SP2 BCL, SP3 BCL, SP3 LTSS, SP4 LTSS und SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE OpenStack Cloud 8 und 9 sowie SUSE OpenStack Cloud Crowbar 8 und 9 stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'postgresql10' adressiert werden. Die betroffene Software wird damit auf Version 10.17 aktualisiert.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen, Daten zu manipulieren, Informationen auszuspähen und falsche Informationen darzustellen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf PostgreSQL in den Versionen 13.3, 12.7, 11.12, 10.17 oder 9.6.22.

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'postgresql-11' in Version 11.12-0+deb10u1 bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-32027

Schwachstelle in PostgreSQL ermöglicht u. a. Manipulation von Daten

CVE-2021-32028

Schwachstelle in PostgreSQL ermöglicht u. a. Ausspähen von Informationen

CVE-2021-32029

Schwachstelle in PostgreSQL ermöglicht Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.