2023-1098: PostgreSQL: Zwei Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2023-05-11 18:18)

Neues Advisory

Version 2 (2023-05-15 12:53)

Mit den PostgreSQL Versionen 15.3, 14.8, 13.11, 12.15 und 11.20 wurde eine weitere Schwachstelle behoben, die einem Angreifer aus der Ferne eine Eskalation seiner Privilegien ermöglicht. Für Debian 11 Bullseye (stable) steht ein Sicherheitsupdate für 'postgresql-13' Version 13.11-0+deb11u1 bereit, um die adressierten Schwachstellen zu beheben.

Version 3 (2023-05-15 16:19)

Für Debian 10 Buster (LTS) steht ein Sicherheitsupdate für 'postgresql-11' in Version 11.20-0+deb10u1 bereit, um die Schwachstellen zu beheben.

Version 4 (2023-05-15 18:12)

Für SUSE CaaS Platform 4.0, openSUSE Leap 15.4, SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3 und 15 SP3 ESPOS / LTSS, SUSE Linux Enterprise Server 12 SP5, 15 SP1, 15 SP1 LTSS, 15 SP2, 15 SP2 LTSS, 15 SP3 und 15 SP3 LTSS, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP1, 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'postgresql12' auf Version 12.15 zur Verfügung. Für SUSE Linux Enterprise High Performance Computing 12 SP5, SUSE Linux Enterprise Server 12 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP5 und SUSE Linux Enterprise Software Development Kit 12 SP5 stehen Sicherheitsupdates für 'postgresql13' auf Version 13.11 bereit. Für Basesystem Module 15 SP4, openSUSE Leap 15.4, Server Applications Module 15 SP4, SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS / LTSS und 15 SP4, SUSE Linux Enterprise Micro 5.3 und 5.4, SUSE Linux Enterprise Real Time 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP5, 15 SP2, 15 SP3 und 15 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.2 und 4.3, SUSE Manager Retail Branch Server 4.2 und 4.3, SUSE Manager Server 4.2 und 4.3 sowie SUSE Package Hub 15 SP4 stehen Sicherheitsupdates für 'postgresql14' auf Version 14.8 zur Verfügung. Und für Basesystem Module 15 SP4, openSUSE Leap 15.4, Server Applications Module 15 SP4, SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise Desktop 15 SP4, SUSE Linux Enterprise High Performance Computing 12 SP2, 12 SP4, 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS / LTSS und 15 SP4, SUSE Linux Enterprise Micro 5.3 und 5.4, SUSE Linux Enterprise Real Time 15 SP3 und 15 SP4, SUSE Linux Enterprise Server 12 SP2, 12 SP2 BCL, 12 SP4, 12 SP4 ESPOS / LTSS, 12 SP5, 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 12 SP4, 12 SP5, 15 SP2, 15 SP3 und 15 SP4, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Manager Proxy 4.2 und 4.3, SUSE Manager Retail Branch Server 4.2 und 4.3, SUSE Manager Server 4.2 und 4.3, SUSE Package Hub 15 SP4 sowie SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'postgresql15' auf Version 15.3 bereit, um die zwei Schwachstellen und einen weiteren nicht sicherheitsrelevanten Fehler zu beheben.

Version 5 (2023-05-16 17:13)

Für Legacy Module 15 SP4, openSUSE Leap 15.4, SUSE Enterprise Storage 7 und 7.1, SUSE Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 ESPOS / LTSS und 15 SP4, SUSE Linux Enterprise Real Time 15 SP3, SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3, 15 SP3 LTSS und 15 SP4, SUSE Linux Enterprise Server for SAP Applications 15 SP2, 15 SP3 und 15 SP4, SUSE Manager Proxy 4.2 und 4.3, SUSE Manager Retail Branch Server 4.2 und 4.3 sowie SUSE Manager Server 4.2 und 4.3 stehen Sicherheitsupdates für 'postgresql13' auf Version 13.11 bereit, um die zwei Schwachstellen und einen weiteren nicht sicherheitsrelevanten Fehler zu beheben.

Version 6 (2023-05-25 09:58)

Canonical stellt für Ubuntu 23.04, Ubuntu 22.10, Ubuntu 22.04 LTS, Ubuntu 20.04 LTS und Ubuntu 18.04 ESM Sicherheitsupdates für die Pakete 'postgresql-10', 'postgresql-12', 'postgresql-14' und 'postgresql-15' bereit, um die Schwachstellen zu beheben.

Version 7 (2023-06-22 11:49)

Für Oracle Linux 9 (x86_64, aarch64) sowie Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.2 (x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.2 (x86_64, aarch64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.2 (aarch64) stehen Sicherheitsupdates für 'postgresql' bereit, um die Schwachstellen zu beheben.

Version 8 (2023-07-14 09:59)

Für Ubuntu 16.04 ESM steht ein Sicherheitsupdate für 'postgresql-9.5' bereit, um die Schwachstelle CVE-2023-2454 zu adressieren.

Version 9 (2023-07-28 08:04)

Für Red Hat Software Collections 1 für Red Hat Enterprise Linux 7 Server und Workstation stehen Sicherheitsupdates für 'rh-postgresql12-postgresql' zur Verfügung, um die Schwachstellen zu beheben.

Version 10 (2023-08-01 11:59)

Für Red Hat Enterprise Linux 9 stehen Sicherheitsupdates zur Behebung der Schwachstellen im Modul 'postgresql:15' zur Verfügung.

Version 11 (2023-08-02 14:06)

Für Oracle Linux 9 (aarch64, x86_64) stehen Sicherheitsupdates bereit, mit denen die Schwachstellen in 'postgresql-15' adressiert werden.

Version 12 (2023-08-09 11:37)

Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 und for ARM 64 8 und EUS 8.8 sowie Red Hat Enterprise Linux Server TUS 8.8 x86_64 Sicherheitsupdates für 'postgresql:13', 'postgresql:12' und 'postgresql:10', um die aufgeführten Schwachstellen zu beheben. Mit den Sicherheitsupdates für 'postgresql:12' wird zusätzlich die ältere Schwachstelle CVE-2022-41862 adressiert, die ein Angreifer aus der Ferne ausnutzen kann, um Informationen auszuspähen.

Version 13 (2023-08-10 09:37)

Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'postgresql:13' und 'postgresql:12' bereit', um die aufgeführten Schwachstellen zu beheben. Mit dem Sicherheitsupdate für 'postgresql:12' wird zusätzlich die ältere Schwachstelle CVE-2022-41862 adressiert, die ein Angreifer aus der Ferne ausnutzen kann, um Informationen auszuspähen.

Version 14 (2023-08-11 18:18)

Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'postgresql:10' bereit', um die aufgeführten Schwachstellen zu beheben.

Version 15 (2023-09-20 13:21)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64), Red Hat Enterprise Linux - Extended Update Support 8.8 (x86_64, aarch64) sowie Red Hat Enterprise Linux Server - TUS 8.8 (x86_64) stehen Sicherheitsupdates für 'postgresql:15' bereit, um die Schwachstellen zu beheben.

Version 16 (2023-09-21 14:31)

Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'postgresql:15' bereit', um die aufgeführten Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Middleware
Server

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Informationen auszuspähen und Dateien zu manipulieren.

Für die Ausnutzung der Schwachstelle sind übliche Privilegien erforderlich.

Der Hersteller informiert über die Schwachstelle und stellt die PostgreSQL Versionen 15.3, 14.8, 13.11, 12.15 und 11.20 bereit.

Schwachstellen:

CVE-2023-2454

Schwachstelle in PostgreSQL ermöglicht Privilegieneskalation

CVE-2023-2455

Schwachstelle in PostgreSQL ermöglicht u. a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.