Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1351 Update 9

Risikostufe 4

Titel:PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von SicherheitsvorkehrungenDatum:14.09.2017Software:PostgreSQL < 9.2.22, PostgreSQL < 9.3.18, PostgreSQL < 9.4.13, PostgreSQL < 9.5.8, PostgreSQL < 9.6.4, Red Hat Software Collections 1 RHEL 6, Red Hat Software Collections 1 RHEL 7Plattform:SUSE Linux Enterprise Debuginfo 11 SP3, SUSE Linux Enterprise Debuginfo 11 SP4, SUSE Linux Enterprise Software Development Kit 11 SP4, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE OpenStack Cloud 6, Apple Mac OS X, macOS Sierra, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, FreeBSD, GNU/Linux, Microsoft Windows , openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 11 SP3 LTSS, SUSE Linux Enterprise Server 11 SP4, SUSE Linux Enterprise Server 12 LTSS, SUSE Linux Enterprise Server for SAP 12, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server for SAP 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, OpenBSD, Oracle Solaris, Red Hat Enterprise Linux for Scientific Computing 7, Red Hat Enterprise Linux 7.4 EUS Compute Node, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server for ARM 7, Red Hat Enterprise Linux Server 7.4 AUS, Red Hat Enterprise Linux Server 7.4 EUS, Red Hat Enterprise Linux Server 7.4 TUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7, Red Hat Fedora 25, Red Hat Fedora 26Auswirkung:Umgehen von SicherheitsvorkehrungenRemoteangriff:JaRisiko:hochCVE Liste:CVE-2017-7546, CVE-2017-7547, CVE-2017-7548Bezug: PostgreSQL Security Information

Beschreibung

PostgreSQL ist ein freies, objektrelationales Datenbankmanagementsystem.

Die Red Hat Software Collection enthält Programmiersprachen und Datenbanken sowie Frameworks. Red Hat aktualisiert diese Sammlung unabhängig von der jeweiligen Linux Basisversion.

Eine Schwachstelle in PostgreSQL ermöglicht einem entfernten, nicht authentisierten Angreifer, sich ohne Passwort an betroffenen Systemen anzumelden und dadurch weitere Angriffe durchzuführen. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer die Eskalation seiner Privilegien, um dadurch möglicherweise sensitive Informationen auszuspähen und Daten zu manipulieren. Der Hersteller stellt die Versionen 9.6.4, 9.5.8, 9.4.13, 9.3.18 und 9.2.22 als Sicherheitsupdates bereit und kündigt an, dass der Versionszweig 9.2 ab September nicht weiter unterstützt wird (End-of-Life). Darüber hinaus weist der Hersteller darauf hin, dass der Patch für CVE-2017-7547 nur neu erstellte Cluster beeinflusst. Für bereits bestehende Cluster findet sich eine detaillierte Anleitung im Sicherheitshinweis. Für das MinGW-Projekt in Fedora 26 steht mit dem Paket 'mingw-postgresql-9.6.4-1.fc26' ein Sicherheitsupdate auf Version 9.6.4 im Status 'pending' bereit.