PostgreSQL sérülékenysége

CH azonosító

CH-14188

Angol cím

PostgreSQL Bugs Let Remote Users Bypass Authentication in Certain Cases and Let Remote Authenticated Users Obtain Passwords and Deny Service

Felfedezés dátuma

2017.08.10.

Súlyosság

Magas

Érintett rendszerek

PostgreSQL
PostgreSQL Global Development Group

Érintett verziók

PostgreSQL 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4 előtti verziók.

Összefoglaló

A PostgreSQL három sérülékenyége vált ismertté, melyeket kihasználva a támadó szolgáltatás megtagadást okozhat, jelszavakat szerezhet meg, valamint hozzáférhet az adatbázishoz. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A biztonsági frissítés egy magas és két közepes besorolású sérülékenységet javít:

A távoli felhasználó üres jelszót adhat meg, amellyel megkerülheti a hitelesítést olyan adatbázis-kapcsolatokkal, amelyek a libpg protokollt használják a jelszó alapú hitelesítéshez [CVE-2017-7546].

A távoli hitelesített felhasználó az idegen adatbeviteli funkció (foreign data wrapper) hibáját kihasználva megtekintheti a jelszavakat a pg_user_mappings katalógusnézetben [CVE-2017-7547].

A távoli hitelesített felhasználó a lo_put() függvényben a hozzáférés-szabályozási hibát kihasználva megváltoztathatja az adatokat és szolgáltatás megtagadást (DoS) idézhet elő [CVE-2017-7548].

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a következő verziók valamelyikére: 9.2.22, 9.3.18, 9.4.13, 9.5.8, 9.6.4


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
CVE-2024-48248 – NAKIVO Backup and Replication Absolute Path Traversal sebezhetősége
CVE-2025-1316 – Edimax IC-7100 IP Camera OS Command Injection sebezhetősége
CVE-2019-9875 – Sitecore CMS and Experience Platform (XP) Deserialization sebezhetősége
Tovább a sérülékenységekhez »