2022-1807: PostgreSQL, Red Hat Software Collections: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2022-08-12 10:42)

Neues Advisory

Version 2 (2022-08-12 14:53)

Debian veröffentlicht zur Behebung der Schwachstelle für Debian 10 Buster (oldstable/LTS) ein Sicherheitsupdate für 'postgresql-11' in Form der Version 11.17-0+deb10u1.

Version 3 (2022-08-19 09:41)

Canonical stellt für Ubuntu 22.04 LTS, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'postgresql-14', 'postgresql-12' und 'postgresql-10' bereit, um die Schwachstelle zu beheben.

Version 4 (2022-08-26 18:23)

Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'postgresql10' und für SUSE Linux Enterprise Server 12 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5 und SUSE Linux Enterprise Software Development Kit 12 SP5 stehen außerdem Sicherheitsupdates für 'postgresql13' bereit, um die Schwachstelle zu beheben.

Version 5 (2022-08-31 16:04)

Für SUSE CaaS Platform 4.0, SUSE Enterprise Storage 6, 7 und 7.1, SUSE Linux Enterprise High Performance Computing 15 SP1 ESPOS / LTSS, 15 SP2 ESPOS / LTSS und 15 SP3, SUSE Linux Enterprise Module for Legacy Software 15 SP3, SUSE Linux Enterprise Server 15 SP1 BCL / LTSS und 15 SP2 BCL / LTSS, SUSE Linux Enterprise Server for SAP 15 SP1 und 15 SP2, SUSE Manager Proxy 4.1 und 4.2, SUSE Manager Retail Branch Server 4.1 und 4.2, SUSE Manager Server 4.1 und 4.2 sowie für openSUSE Leap 15.3 und 15.4 stehen Sicherheitsupdates für 'postgresql10' auf Version 10.22 bereit, um die Schwachstelle zu beheben.

Version 6 (2022-09-02 13:39)

Für die SUSE Linux Enterprise Produkte Server 15 SP4, Server for SAP Applications 15 SP4, Module for Server Applications 15 SP4, Module for Legacy Software 15 SP4 / SP3, Module for Basesystem 15 SP4, High Performance Computing 15 SP4 und Desktop 15 SP4 stehen Sicherheitsupdates für 'postgresq12' auf Version 12.12 bereit, für die SUSE Linux Enterprise Produkte Module for Server Applications 15 SP3, Module for Basesystem 15 SP3, Desktop 15 SP3 sowie für SUSE Manager Server 4.3, SUSE Manager Retail Branch Server 4.3 und SUSE Manager Proxy 4.3 stehen außerdem Sicherheitsupdates für 'postgresql13' auf Version 13.8 bereit und für die SUSE Linux Enterprise Produkte Server 15 SP3, Server 15 SP2 LTSS / BCL, Server for SAP Applications 15 SP3, Server for SAP 15 SP2, Module for Packagehub Subpackages 15 SP3, High Performance Computing 15 SP3, High Performance Computing 15 SP2 LTSS / BCL, Storage 7 und für SUSE Manager Server 4.1 / 4.2, SUSE Manager Retail Branch Server 4.1 / 4.2, SUSE Manager Proxy 4.1 / 4.2 sowie für openSUSE Leap 15.3 / 15.4 stehen zudem Sicherheitsupdates für 'postgresql14' auf Version 14.5 bereit, um die Schwachstelle zu beheben.

Version 7 (2022-09-09 10:02)

Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5 sowie für SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'postgresql12' auf Version 12.12 bereit, um die Schwachstelle und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Version 8 (2022-09-14 15:39)

Für SUSE Linux Enterprise Server 12 SP2 BCL, 12 SP3 BCL, 12 SP4 LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP 12 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, SUSE Linux Enterprise Software Development Kit 12 SP5 sowie für SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'postgresql14' auf Version 14.5 bereit, um die Schwachstelle und zwei weitere, nicht sicherheitsrelevanten Fehler zu beheben.

Version 9 (2022-09-26 18:39)

SUSE Linux Enterprise High Performance Computing 15 SP4, SUSE Linux Enterprise Module for Packagehub Subpackages 15 SP4, SUSE Linux Enterprise Server 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP4, SUSE Manager Proxy 4.3, SUSE Manager Retail Branch Server 4.3 sowie SUSE Manager Server 4.3 stehen Sicherheitsupdates für 'postgresql14' auf Version 14.5 zur Behebung der Schwachstelle zur Verfügung.

Version 10 (2022-10-25 17:16)

Für Red Hat Enterprise Linux Server, Workstation, Desktop und for Scientific Computing 7 (x86_64), Red Hat Enterprise Linux 8, EUS 8.6 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server AUS / TUS 8.6 (x86_64) stehen Sicherheitsupdates für 'postgresql:12' bereit, um die Schwachstelle zu beheben.

Version 11 (2022-10-27 10:45)

Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'postgresql:12' zur Behebung der Schwachstelle zur Verfügung.

Version 12 (2023-01-12 14:32)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'postgresql:10' zur Behebung der Schwachstelle zur Verfügung.

Version 13 (2023-01-13 08:44)

Für Red Hat Software Collections (for RHEL Server / Workstation) 1 for RHEL 7 (x86_64) stehen Sicherheitsupdates für 'rh-postgresql10-postgresql' bereit, um die Schwachstelle zu beheben.

Version 14 (2023-01-16 08:44)

Für Oracle Linux 8 (x86_64, aarch64) stehen zu RHSA-2023:0113 korrespondierende Sicherheitsupdates für das Modul 'postgresql:10' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle aus der Ferne ausnutzen, um beliebigen Programmcode mit den Rechten des betroffenen Benutzers (u. U. mit Administratorrechten) auszuführen.

Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstelle und empfiehlt zu deren Behebung ein Update auf die PostgreSQL Version 14.5, 13.8, 12.12, 11.17 oder 10.22. Die PostgreSQL Version 15 Beta 3 umfasst die Korrektur der Schwachstelle ebenfalls.

Schwachstellen:

CVE-2022-2625

Schwachstelle in PostgreSQL ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.