Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1416 PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE][Unix][Apple][FreeBSD][OpenBSD][Solaris][Windows][Netzwerk]

14.09.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 10 (14.09.2017):
Red Hat veröffentlicht für die Red Hat Enterprise Linux 7 Produktvarianten
Server, Workstation, Desktop und Scientific Computing sowie die Versionen
Server EUS 7.4, Server AUS 7.4, Server TUS 7.4, Server for ARM 7 und EUS
Compute Node 7.4 Sicherheitsupdates für PostgreSQL. Mittels der Pakete,
die ein Upgrade auf die Version 9.2.23 darstellen, werden die
Schwachstellen CVE-2017-7546 und CVE-2017-7547 behoben. Die Schwachstelle
CVE-2017-7548 existiert im Versionszweig 9.2 nicht.
Version 9 (12.09.2017):
Red Hat stellt die Pakete 'rh-postgresql94-postgresql-9.4.14-1' und
'rh-postgresql95-postgresql-9.5.9-1' für die Red Hat Software Collections
1 für die Red Hat Enterprise Linux 6 und 7 Varianten Server und
Workstation als Sicherheitsupdates bereit.
Version 8 (11.09.2017):
Für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen
Sicherheitsupdates für 'postgresql94' und 'postgresql96' zur Behebung der
Schwachstellen zur Verfügung.
Version 7 (06.09.2017):
Für SUSE Linux Enterprise Software Development Kit 12 SP2 und 12 SP3,
Desktop 12 SP2 und 12 SP3, Server 12 LTSS, 12 SP1 LTSS, 12 SP2 und 12 SP3,
Server for SAP 12 und 12 SP1, Server for Raspberry Pi 12 SP2 sowie SUSE
OpenStack Cloud 6 stehen Sicherheitsupdates für 'postgresql94' und
'postgresql96' bereit, um diese Schwachstellen zu beheben.
Version 6 (31.08.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates
auf die Postgresql93 Version 9.3.18 bereit, um diese Schwachstellen zu
beheben.
Version 5 (28.08.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4,
Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen
Sicherheitsupdates auf die Postgresql94 Version 9.4.13 zur Behebung der
Schwachstellen zur Verfügung.
Version 4 (23.08.2017):
Für SUSE Linux Enterprise Server 12 LTSS und Server für SAP 12 stehen
Sicherheitsupdates auf die Postgresql93 Version 9.3.18 zur Behebung der
Schwachstellen bereit.
Version 3 (16.08.2017):
Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und
Ubuntu 14.04 LTS aktualisierte 'postgresql'-Pakete als Sicherheitsupdates
bereit. Für Ubuntu 17.04 wird das 'postgresql-9.6'-Paket, für Ubuntu 16.04
LTS das 'postgresql-9.5'- und für Ubuntu 14.04 LTS das
'postgresql-9.3'-Paket aktualisiert.
Version 2 (14.08.2017):
Für Fedora 25 und 26 stehen mit den Paketen 'postgresql-9.5.8-1.fc25' und
'postgresql-9.6.4-1.fc26' Sicherheitsupdates auf aktuelle Versionen von
PostgreSQL im Status 'testing' bereit. Debian stellt für die stabile
Distribution Stretch ein Sicherheitsupdate auf die Version 9.6.4 und für
die alte stabile Distribution Jessie ein Sicherheitsupdate auf Version
9.4.13 bereit.
Version 1 (11.08.2017):
Neues Advisory

Betroffene Software:

PostgreSQL < 9.2.22
PostgreSQL < 9.3.18
PostgreSQL < 9.4.13
PostgreSQL < 9.5.8
PostgreSQL < 9.6.4
Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7


Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP3
SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP2
SUSE Linux Enterprise Software Development Kit 12 SP3
SUSE OpenStack Cloud 6
Apple Mac OS X
macOS Sierra
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Debian Linux 8.9 Jessie
Debian Linux 9.1 Stretch
FreeBSD
GNU/Linux
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
SUSE Linux Enterprise Desktop 12 SP2
SUSE Linux Enterprise Desktop 12 SP3
SUSE Linux Enterprise Server 11 SP3 LTSS
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12 LTSS
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12 SP1 LTSS
SUSE Linux Enterprise Server for SAP 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
SUSE Linux Enterprise Server 12 SP3
OpenBSD
Oracle Solaris
Red Hat Enterprise Linux for Scientific Computing 7
Red Hat Enterprise Linux 7.4 EUS Compute Node
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server for ARM 7
Red Hat Enterprise Linux Server 7.4 AUS
Red Hat Enterprise Linux Server 7.4 EUS
Red Hat Enterprise Linux Server 7.4 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 25
Red Hat Fedora 26



Eine Schwachstelle in PostgreSQL ermöglicht einem entfernten, nicht
authentisierten Angreifer, sich ohne Passwort an betroffenen Systemen
anzumelden und dadurch weitere Angriffe durchzuführen. Zwei weitere
Schwachstellen ermöglichen einem entfernten, einfach authentisierten
Angreifer die Eskalation seiner Privilegien, um dadurch möglicherweise
sensitive Informationen auszuspähen und Daten zu manipulieren.

Der Hersteller stellt die Versionen 9.6.4, 9.5.8, 9.4.13, 9.3.18 und 9.2.22
als Sicherheitsupdates bereit und kündigt an, dass der Versionszweig 9.2 ab
September nicht weiter unterstützt wird (End-of-Life). Darüber hinaus weist
der Hersteller darauf hin, dass der Patch für CVE-2017-7547 nur neu
erstellte Cluster beeinflusst. Für bereits bestehende Cluster findet sich
eine detaillierte Anleitung im Sicherheitshinweis.

Für das MinGW-Projekt in Fedora 26 steht mit dem Paket
'mingw-postgresql-9.6.4-1.fc26' ein Sicherheitsupdate auf Version 9.6.4 im
Status 'pending' bereit.


Patch:

PostgreSQL Security Information

<http://www.postgresql.org/support/security/>

Patch:

Fedora Security Update FEDORA-2017-9148fe36b9 (Fedora 25,
postgresql-9.5.8-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-9148fe36b9>

Patch:

Fedora Security Update FEDORA-2017-d9cac37bd8 (Fedora 26,
postgresql-9.6.4-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-d9cac37bd8>

Patch:

Fedora Security Update FEDORA-2017-f9e66916ec (Fedora 26,
mingw-postgresql-9.6.4-1)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f9e66916ec>

Patch:

PostgreSQL 9.6.4 Release Notes

<https://www.postgresql.org/docs/9.6/static/release-9-6-4.html>

Patch:

PostgreSQL 9.6.4, 9.5.8, 9.4.13, 9.3.18, 9.2.22 Release Notes

<https://www.postgresql.org/about/news/1772/>

Patch:

Debian Security Advisory DSA-3935-1

<https://www.debian.org/security/2017/dsa-3935>

Patch:

Debian Security Advisory DSA-3936-1

<https://www.debian.org/security/2017/dsa-3936>

Patch:

Ubuntu Security Notice USN-3390-1

<http://www.ubuntu.com/usn/usn-3390-1/>

Patch:

SUSE Security Update SUSE-SU-2017:2236-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-August/003151.html>

Patch:

SUSE Security Update SUSE-SU-2017:2258-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-August/003158.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:2306-1

<http://lists.opensuse.org/opensuse-updates/2017-08/msg00111.html>

Patch:

SUSE Security Update SUSE-SU-2017:2355-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003187.html>

Patch:

SUSE Security Update SUSE-SU-2017:2356-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003188.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:2391-1

<http://lists.opensuse.org/opensuse-updates/2017-09/msg00030.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:2392-1

<http://lists.opensuse.org/opensuse-updates/2017-09/msg00029.html>

Patch:

Red Hat Security Advisory RHSA-2017:2677

<https://access.redhat.com/errata/RHSA-2017:2677>

Patch:

Red Hat Security Advisory RHSA-2017:2678

<https://access.redhat.com/errata/RHSA-2017:2678>

Patch:

Red Hat Security Advisory RHSA-2017:2728

<https://access.redhat.com/errata/RHSA-2017:2728>


CVE-2017-7548: Schwachstelle in PostgreSQL ermöglicht Privilegieneskalation

Aufgrund einer fehlenden Berechtigungsprüfung für die Ausführung der
Funktion 'lo_put' kann ein entfernter, einfach authentisierter Angreifer die
Daten eines großen Objekts manipulieren. Die Schwachstelle existiert im Core
Server und wird vom Hersteller mit der Schwachstellenklasse 'C'
(Privilegieneskalation mit gültigem Login) eingestuft.


CVE-2017-7547: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen

Benutzer von PostgreSQL haben unabhängig von der Berechtigung 'USAGE' auf
dem assoziierten Server die Möglichkeit, die Optionen in 'pg_user_mappings'
zu sehen. Dazu gehören auch senstiive Details wie Passwörter, die vom
Server-Administrator gesetzt wurden. Ein entfernter, einfach authentisierter
Angreifer kann dadurch Informationen ausspähen. Die Schwachstelle existiert
im Core Server und wird vom Hersteller mit der Schwachstellenklasse 'C'
(Privilegieneskalation mit gültigem Login) eingestuft. Die Schwachstelle
besteht aufgrund eines unvollständigen Patches für CVE-2017-7486.


CVE-2017-7546: Schwachstelle in PostgreSQL ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Bibliothek libpq und dadurch auch alle Verbindungstreiber, die auf libpq
zurückgreifen, ignorieren beim Authentifizierungsvorgang leere Passwörter,
senden diese also nicht an den Server. Durch Setzen eines leeren Passwortes
kann dadurch effektiv die Authentifizierung über Passworte verhindert
werden. Dies gilt allerdings nicht für Verbindungstreiber, die nicht auf
libpq zurückgreifen, so dass ein entfernter, nicht authentisierter Angreifer
sich in einer solchen Situation ohne Passwort am System anmelden kann. Die
Schwachstelle existiert im Core Server und wird vom Hersteller mit der
Schwachstellenklasse 'A' (Privilegieneskalation ohne gültigen Login)
eingestuft.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1416/>

PostgreSQL Security Information:
<http://www.postgresql.org/support/security/>

Fedora Security Update FEDORA-2017-9148fe36b9 (Fedora 25, postgresql-9.5.8-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-9148fe36b9>

Fedora Security Update FEDORA-2017-d9cac37bd8 (Fedora 26, postgresql-9.6.4-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-d9cac37bd8>

Fedora Security Update FEDORA-2017-f9e66916ec (Fedora 26,
mingw-postgresql-9.6.4-1):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f9e66916ec>

PostgreSQL 9.6.4 Release Notes:
<https://www.postgresql.org/docs/9.6/static/release-9-6-4.html>

PostgreSQL 9.6.4, 9.5.8, 9.4.13, 9.3.18, 9.2.22 Release Notes:
<https://www.postgresql.org/about/news/1772/>

Schwachstelle CVE-2017-7546 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7546>

Schwachstelle CVE-2017-7547 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7547>

Schwachstelle CVE-2017-7548 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7548>

Debian Security Advisory DSA-3935-1:
<https://www.debian.org/security/2017/dsa-3935>

Debian Security Advisory DSA-3936-1:
<https://www.debian.org/security/2017/dsa-3936>

Ubuntu Security Notice USN-3390-1:
<http://www.ubuntu.com/usn/usn-3390-1/>

SUSE Security Update SUSE-SU-2017:2236-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-August/003151.html>

SUSE Security Update SUSE-SU-2017:2258-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-August/003158.html>

openSUSE Security Update openSUSE-SU-2017:2306-1:
<http://lists.opensuse.org/opensuse-updates/2017-08/msg00111.html>

SUSE Security Update SUSE-SU-2017:2355-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003187.html>

SUSE Security Update SUSE-SU-2017:2356-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-September/003188.html>

openSUSE Security Update openSUSE-SU-2017:2391-1:
<http://lists.opensuse.org/opensuse-updates/2017-09/msg00030.html>

openSUSE Security Update openSUSE-SU-2017:2392-1:
<http://lists.opensuse.org/opensuse-updates/2017-09/msg00029.html>

Red Hat Security Advisory RHSA-2017:2677:
<https://access.redhat.com/errata/RHSA-2017:2677>

Red Hat Security Advisory RHSA-2017:2678:
<https://access.redhat.com/errata/RHSA-2017:2678>

Red Hat Security Advisory RHSA-2017:2728:
<https://access.redhat.com/errata/RHSA-2017:2728>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 10/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.