PostgreSQL biztonsági frissítés


2017. december 11. 10:19

CH azonosító

CH-14321

Angol cím

PostgreSQL security update

Felfedezés dátuma

2017.12.08.

Súlyosság

Közepes

Érintett rendszerek

PostgreSQL Global Development Group
Red Hat

Érintett verziók

PostgreSQL 9.2.0 |9.2.1 |9.2.2 |9.2.4 |9.2.3 |9.2.5 |9.2.6 |9.2.7 |9.2.8 |9.2.9 |9.3(.0,.1,.2,.3,.4,.5) |9.4.0 |9.2.10 |9.2.11 |9.2.12 |9.2.13 |9.2.14 |9.3.1 |9.3.2 |9.3.4 |9.3.5 |9.3.6 |9.3.7 |9.3.8 |9.3.9 |9.3.10 |9.4.1 |9.4.2 |9.4.3 |9.4.4 |9.4.5 |9.5.0 |9.2.18 |9.3.14 |9.4.9 |9.5.4 |9.6.0 |9.6.1 |9.6.2 |9.6.3 |9.6.4 |9.5.5 |9.5.6 |9.5.7 |9.5.8 |9.4.10 |9.4.11 |9.4.12 |9.4.13 |9.3.15 |9.3.16 |9.3.17 |9.3.18 |9.2.19 |9.2.20 |9.2.21 |9.2.22 |9.6.5 |10
RedHatEnterpriseLinuxServerAUS 7.4(x86_64)
RedHatEnterpriseLinuxDesktop 7(x86_64)
RedHatEnterpriseLinuxforIBMzSystems 7(s390x) |ExtendedUpdateSupport7.4(s390x)
RedHatEnterpriseLinuxforPower bigendian7(ppc64) |littleendian7(ppc64le) |littleendian-ExtendedUpdateSupport7.4(ppc64le) |bigendian-ExtendedUpdateSupport7.4(ppc64)
RedHatEnterpriseLinuxServer 7(x86_64) |4YearExtendedUpdateSupport7.4(x86_64)
RedHatEnterpriseLinuxServerEUS 7.4(x86_64)
RedHatEnterpriseLinuxServerTUS 7.4(x86_64)
RedHatEnterpriseLinuxWorkstation 7(x86_64)
RedHatSoftwareCollections 1forRHEL6(x86_64) |1forRHEL7(x86_64) |1forRHEL6.7(x86_64) |1forRHELWorkstation7(x86_64) |1forRHELWorkstation6(x86_64) |1forRHEL7.3(x86_64) |1forRHEL7.4(x86_64) |1forRHELServerforARM(aarch64) |1forRHEL7forRHELServerforIBMPowerLE(ppc64le) |1forRHEL7forRHELServerforSystemZ(s390x) |1forRHEL7.3forRHELServerforIBMPowerLE(ppc64le) |1RHELfor7.4forRHELServerforIBMPowerLE(ppc64le) |1forRHEL7.3forRHELServerforSystemZ(s390x) |1forRHEL7.4forRHELServerforSystemZ(s390x)
RedHatEnterpriseLinuxforScientificComputing 7(x86_64)
RedHatEnterpriseLinuxEUSComputeNode 7.4(x86_64)
RedHatEnterpriseLinuxServer(forIBMPowerLE) 4YearExtendedUpdateSupport7.4(ppc64le)
RedHatEnterpriseLinuxforARM64 7(aarch64)
RedHatEnterpriseLinuxforPower9 7(ppc64le)

Összefoglaló

A PostgreSQL legújabb biztonsági frissítése által javított sérülékenység kihasználásával egy helyi támadó magasabb jogosultságot szerezhet, valamint a gépen tárolt érzékeny információkhoz is hozzáférhet.

Leírás

A PostgreSQL sérülékenység a rendszer nem megfelelő konfigurációjából adódik. A helyi felhasználó kihasználhatja ezt a biztonsági rést és lehetővé válik számára, hogy magasabb szintű jogosultságokat érjen el, ami jogosulatlan hozzáférést biztosíthat számára a célzott rendszeren lévő információkhoz. 

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A PostgreSQL kiadta a szoftverfrissítéseket a következő linken: https://www.postgresql.org/download/

Red Hat által kiadott frissített szoftvert a regisztrált előfizetők az alábbi linken érhetik el: https://access.redhat.com/management/

Támadás típusa

Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)

Hivatkozások

Gyártói referencia: www.postgresql.org
Egyéb referencia: cve.mitre.org
Egyéb referencia: tools.cisco.com
CVE-2017-12172 - NVD CVE-2017-12172

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »