CH azonosító
CH-13491Angol cím
PostgreSQL vulnerabilitiesFelfedezés dátuma
2016.08.10.Súlyosság
MagasÖsszefoglaló
PostgreSQL magas kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó jogosultságot szerezhet, vagy szolgáltatásmegtagadást érhet el. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Az egyik sérülékenység olyan SQL-ekkel válhat kihasználhatóvá, amelyek CASE/WHEN utasításokat is tartalmaznak. Ekkor az érintett szerver válaszképtelenné válhat.
A másik sérülékenység a CREATEDB, illetve a CREATEROLE kapcsán merült fel, és speciálisan szerkesztett objektumnevekkel válhat kihasználhatóvá. A hiba hatására akár superuser jogokkal történő visszaélésekre is lehetőség adódhat.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Deny of service (Szolgáltatás megtagadás)Privilege escalation (jogosultság kiterjesztés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: www.postgresql.org
CVE-2016-5423 - NVD CVE-2016-5423
CVE-2016-5424 - NVD CVE-2016-5424