PostgreSQL sérülékenysége

CH azonosító

CH-14188

Angol cím

PostgreSQL Bugs Let Remote Users Bypass Authentication in Certain Cases and Let Remote Authenticated Users Obtain Passwords and Deny Service

Felfedezés dátuma

2017.08.10.

Súlyosság

Magas

Érintett rendszerek

PostgreSQL
PostgreSQL Global Development Group

Érintett verziók

PostgreSQL 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4 előtti verziók.

Összefoglaló

A PostgreSQL három sérülékenyége vált ismertté, melyeket kihasználva a támadó szolgáltatás megtagadást okozhat, jelszavakat szerezhet meg, valamint hozzáférhet az adatbázishoz. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági frissítés egy magas és két közepes besorolású sérülékenységet javít:

A távoli felhasználó üres jelszót adhat meg, amellyel megkerülheti a hitelesítést olyan adatbázis-kapcsolatokkal, amelyek a libpg protokollt használják a jelszó alapú hitelesítéshez [CVE-2017-7546].

A távoli hitelesített felhasználó az idegen adatbeviteli funkció (foreign data wrapper) hibáját kihasználva megtekintheti a jelszavakat a pg_user_mappings katalógusnézetben [CVE-2017-7547].

A távoli hitelesített felhasználó a lo_put() függvényben a hozzáférés-szabályozási hibát kihasználva megváltoztathatja az adatokat és szolgáltatás megtagadást (DoS) idézhet elő [CVE-2017-7548].

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a következő verziók valamelyikére: 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-20236 – Cisco Webex App sebezhetősége
CVE-2017-5754 – Linux Kernel sebezhetősége
CVE-2014-0160 – OpenSSL Information Disclosure sebezhetősége
CVE-2025-23010 – SonicWall NetExtender Improper Link Resolution Before File Access ('Link Following') sebezhetősége
CVE-2025-23009 – SonicWall NetExtender Local Privilege Escalation sebezhetősége
CVE-2025-23008 – SonicWall NetExtender Improper Privilege Management sebezhetősége
CVE-2024-0132 – NVIDIA Container Toolkit sérülékenysége
CVE-2025-3102 – SureTriggers sérülékenysége
CVE-2025-24859 – Apache Roller sebezhetősége
Tovább a sérülékenységekhez »