2021-2400: PostgreSQL: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-11-12 08:11)

Neues Advisory

Version 2 (2021-11-12 12:43)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'postgresql-9.6' in Version 9.6.24-0+deb9u1 bereit, um die Schwachstellen zu beheben.

Version 3 (2021-11-12 16:28)

Für Debian 10 Buster (oldstable) steht ein Sicherheitsupdate für 'postgresql-11' in Version 11.14-0+deb10u1 und für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'postgresql-13' in Version 13.5-0+deb11u1 bereit, um die Schwachstellen zu beheben.

Version 4 (2021-11-22 14:55)

Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'postgresql', 'postgresql13' und 'postgresql14' zur Behebung der Schwachstellen zur Verfügung.

Version 5 (2021-11-22 16:59)

Für openSUSE Leap 15.3 stehen Sicherheitsupdates für 'postgresql12', 'postgresql13' und 'postgresql14' zur Behebung der Schwachstellen zur Verfügung.

Version 6 (2021-11-23 08:10)

Für SUSE Linux Enterprise Module for Server Applications 15 SP2 und 15 SP3, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP2 und 15 SP3 und SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'postgresql13' und 'postgresql14' zur Verfügung. Für SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server 12 SP5, SUSE Linux Enterprise Module for Server Applications 15 SP2, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP2 und 15 SP3, SUSE Linux Enterprise Module for Legacy Software 15 SP3 und SUSE Linux Enterprise Module for Basesystem 15 SP2 stehen Sicherheitsupdates für 'postgresql12' bereit. Für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP3 und 12 SP4 sowie SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS und 12 SP5 stehen Sicherheitsupdates für 'postgresql10' zur Verfügung. Für SUSE OpenStack Cloud 8 und Crowbar 8, SUSE Linux Enterprise Server for SAP 12 SP3 sowie SUSE Linux Enterprise Server 12 SP2 BCL und 12 SP3 BCL / LTSS stehen außerdem Sicherheitsupdates für 'postgresql96' bereit, um die beiden Schwachstellen zu beheben.

Version 7 (2021-12-14 17:45)

Für die SUSE Linux Enterprise Produkte Server for SAP 15 SP1, Server 15 SP1 BCL / LTSS, Module for Server Applications 15 SP2, Module for Legacy Software 15 SP3, Module for Basesystem 15 SP2, High Performance Computing 15 SP1 LTSS / ESPOS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'postgresql10' bereit, um die beiden Schwachstellen zu beheben.

Version 8 (2021-12-17 11:12)

Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates bereit, mit denen die beiden Schwachstellen in 'postgresql10' adressiert werden.

Version 9 (2021-12-23 08:52)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates auf die PostgreSQL Versionen 12.9 und 13.5 zur Behebung der hier aufgeführten Schwachstelle CVE-2021-23214 zur Verfügung. Zusätzlich referenziert Oracle noch die Schwachstelle CVE-2021-3677 als behoben, die ein Angreifer mit niedrigen Privilegien aus der Ferne ausnutzen kann, um Informationen auszuspähen, die bereits mit den jeweiligen vorherigen PostgreSQL Releases adressiert wurde. Für Fedora 35 steht ein Sicherheitsupdate in Form des Paketes 'pgbouncer-1.16.1-1.fc35' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Version 10 (2022-01-04 08:31)

Für Fedora EPEL 8 steht ein Sicherheitsupdate in Form des Paketes 'pgbouncer-1.16.1-2.el8' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Version 11 (2022-05-11 15:15)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates auf die PostgreSQL Version 10.19 zur Verfügung, um die Schwachstelle CVE-2021-23214 zu beheben. Zusätzlich sind Sicherheitsupdates für die PostgreSQL-Client-Bibliothek in Form des Paketes 'libpq' verfügbar, welche die Schwachstelle CVE-2021-23222 adressieren. Die Sicherheitsupdates werden im Kontext des Red Hat Enterprise Linux 8.6 Releases veröffentlicht.

Version 12 (2022-05-18 12:10)

Für Oracle Linux 8 (x86_64, aarch64) steht ein Sicherheitsupdate für 'postgresql:10' bereit, um die Schwachstelle CVE-2021-23214 zu beheben.

Betroffene Software

Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, falsche Informationen darzustellen und möglicherweise Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und empfiehlt zu deren Behebung ein Update auf PostgreSQL in den Versionen 14.1, 13.5, 12.9, 11.14, 10.19 oder 9.6.24.

Canonical stellt für Ubuntu 21.10, Ubuntu 21.04, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'postgresql-10', 'postgresql-12' und 'postgresql-13' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-23214

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-23222

Schwachstelle in PostgreSQL ermöglicht u. a. Darstellen falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.