CH azonosító
CH-13153Angol cím
PostgreSQL vulnerabilitiesFelfedezés dátuma
2016.04.04.Súlyosság
KözepesÖsszefoglaló
A PostgreSQL sérülékenységei váltak ismertté, amelyek kihasználásával jogosulatlan adathozzáférésre, és adatmanipulációra nyílhat lehetőség.
Leírás
Az egyik biztonsági hiba a “query plan” kapcsán merült fel, és az RLS (Row Level Security) védelem megkerülésére ad módot.
A másik sérülékenységet a BRIN indexek kezelése tartalmazza. Vagy jogosulatlan adatelérést biztosít, vagy a szerver összeomlását idézheti elő.
A sérülékenységek kihasználása hitelesített, felhasználói hozzáférést igényel a szerverhez.
Megoldás
A 9.5.2-es verzióra történő frissítés.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.postgresql.org
Egyéb referencia: isbk.hu
CVE-2016-2193 - NVD CVE-2016-2193
CVE-2016-3065 - NVD CVE-2016-3065
