Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 10 (17.02.2016):
SUSE stellt Sicherheitsupdates für die Linux Enterprise Produkte Software
Development Kit 11 SP3 und 11 SP4, Server 11 SP3, 11 SP3 für VMWare und 11
SP4, Desktop 11 SP3 und 11 SP4 sowie für den SUSE Manager 2.1 auf die
PostgreSQL Version 9.4.5 bereit.
Version 9 (20.11.2015):
Für verschiedene Red Hat Enterprise Linux 7 Produktvarianten stehen
Sicherheitsupdates in Form aktualisierter ‘postgresql’-Pakete zur
Verfügung.
Version 8 (19.11.2015):
Für verschiedene Red Hat Enterprise Linux 6 Produktvarianten stehen
Sicherheitsupdates in Form aktualisierter ‘postgresql’-Pakete und für Red
Hat Software Collections 2 weitere Sicherheitsupdates in Form
aktualisierter ‘postgresql92-postgresql’-Pakete zur Verfügung.
Version 7 (18.11.2015):
Für Red Hat Software Collections 2 stehen Sicherheitsupdates in Form
aktualisierter ‘rh-postgresql94-postgresql’-Pakete zur Verfügung.
Version 6 (05.11.2015):
Für die Distribution openSUSE 13.1 steht ein Sicherheitsupdate zur
Verfügung, welches die Schwachstelle CVE-2015-5288 adressiert.
Version 5 (04.11.2015):
Für die Distribution openSUSE 13.2 ist ein Sicherheitsupdate verfügbar.
Version 4 (27.10.2015):
Für SUSE Linux Enterprise Software Development Kit 12, SUSE Linux
Enterprise Server 12 und SUSE Linux Enterprise Desktop 12 stehen
Sicherheitsupdates zur Verfügung.
Version 3 (20.10.2015):
Debian stellt für die Debian Linux Distributionen Jessie (8.2) und Stretch
(9.0) Sicherheitsupdates auf die PostgreSQL Version 9.4.5 zur Verfügung.
Version 2 (16.10.2015):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS
und Ubuntu 15.04 Sicherheitsupdates bereit.
Version 1 (12.10.2015):
Neues Advisory
Betroffene Software:
PostgreSQL < 9.0.23 PostgreSQL < 9.1.19 PostgreSQL < 9.2.14 PostgreSQL < 9.3.10 PostgreSQL < 9.4.5 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 11 SP3 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Manager 2.1 Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 SuSE SUSE Linux Enterprise Software Development Kit 12 Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.04 Debian Linux 8.2 Jessie Debian Linux 9.0 Stretch openSUSE 13.1 openSUSE 13.2 SUSE Linux Enterprise Desktop 11 SP3 SUSE Linux Enterprise Desktop 11 SP4 SUSE Linux Enterprise Desktop 12 SUSE Linux Enterprise Server 11 SP3 SUSE Linux Enterprise Server 11 SP3 for VMware SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux HPC Node 6 Red Hat Enterprise Linux HPC Node 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 21 Red Hat Fedora 22 Red Hat Fedora 23 Zwei Schwachstellen in PostgreSQL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen eines Denial-of-Service-Angriffs, sowie das Ausspähen von Informationen. Die PostgreSQL Global Development Gruppe stellt Sicherheitsupdates für alle unterstützten Versionen des PostgeSQL Datenbanksystems zur Verfügung, inklusive der Versionen 9.4.5, 9.3.10, 9.2.14, 9.1.19 und 9.0.23, um die beiden Schwachstellen und eine Reihe von weiteren Bugs zu beheben. PostgreSQL 9.0.23 stellt das letzte Sicherheitsupdate für die Hauptversion 9.0 dar. Für Fedora 21 und Fedora 22 stehen Sicherheitsupdates in Form der Pakete postgresql-9.3.10-1.fc21 und postgresql-9.4.5-1.fc22 im Status 'testing', für Fedora 23 in Form des Paketes postgresql-9.4.5-1.fc23 im Status 'stable' zur Verfügung. Patch: Fedora Security Update FEDORA-2015-6d2a957a87 (Fedora 22) https://bodhi.fedoraproject.org/updates/FEDORA-2015-6d2a957a87
Patch:
Fedora Security Update FEDORA-2015-7fac92f49c (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-7fac92f49c
Patch:
Fedora Security Update FEDORA-2015-d683ebb786 (Fedora 21)
https://bodhi.fedoraproject.org/updates/FEDORA-2015-d683ebb786
Patch:
PostgreSQL Security Update 9.4.5, 9.3.10, 9.2.14, 9.1.19 und 9.0.23
http://www.postgresql.org/about/news/1615/
Patch:
Ubuntu Security Notice USN-2772-1
http://www.ubuntu.com/usn/usn-2772-1/
Patch:
Debian Security Advisory DSA-3374-1
https://www.debian.org/security/2015/dsa-3374
Patch:
SUSE Security Update SUSE-SU-2015:1821-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151821-1.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1907-1
http://lists.opensuse.org/opensuse-updates/2015-11/msg00033.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1919-1
http://lists.opensuse.org/opensuse-updates/2015-11/msg00040.html
Patch:
Red Hat Security Advisory RHSA-2015:2077
http://rhn.redhat.com/errata/RHSA-2015-2077.html
Patch:
Red Hat Security Advisory RHSA-2015:2081
http://rhn.redhat.com/errata/RHSA-2015-2081.html
Patch:
Red Hat Security Advisory RHSA-2015:2083
http://rhn.redhat.com/errata/RHSA-2015-2083.html
Patch:
Red Hat Security Advisory RHSA-2015:2078
http://rhn.redhat.com/errata/RHSA-2015-2078.html
Patch:
SUSE Security Update SUSE-SU-2016:0482-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160482-1.html
CVE-2015-5289: Schwachstelle in PostgreSQL ermöglicht
Denial-of-Service-Angriff
Es existiert eine nicht näher beschriebene Schwachstelle in PostgreSQL 9.3.x
bevor 9.3.10 und 9.4.x bevor 9.4.5, die bei der Verarbeitung von JSON- und
JSONB- Eingabewerten, die aus beliebigen Benutzereingaben konstruiert
werden, hervorgerufen wird. Mittels speziell präparierter Eingaben ist es
durch diese Schwachstelle möglich, einen PostgreSQL-Server zum Absturz zu
bringen und den Dienst zu stören. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Angriff durchführen.
CVE-2015-5288: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen
Es existiert eine Schwachstelle in der Funktion crypt() in PostgreSQL, die
durch eine fehlerhafte Speicherbehandlung hervorgerufen wird. Bei der
Verwendung der optionalen Erweiterung pgCrypto, können bei einem
Speicherzugriff zusätzliche Bytes ausgelesen werden. Ein entfernter, nicht
authentifizierter Angreifer kann Informationen ausspähen oder einen
Denial-of-Service-Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1569/
Fedora Security Update FEDORA-2015-6d2a957a87 (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-6d2a957a87
Fedora Security Update FEDORA-2015-7fac92f49c (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-7fac92f49c
Fedora Security Update FEDORA-2015-d683ebb786 (Fedora 21):
https://bodhi.fedoraproject.org/updates/FEDORA-2015-d683ebb786
Schwachstelle CVE-2015-5288 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5288
Schwachstelle CVE-2015-5289 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5289
PostgreSQL Security Update 9.4.5, 9.3.10, 9.2.14, 9.1.19 und 9.0.23:
http://www.postgresql.org/about/news/1615/
Ubuntu Security Notice USN-2772-1:
http://www.ubuntu.com/usn/usn-2772-1/
Debian Security Advisory DSA-3374-1:
https://www.debian.org/security/2015/dsa-3374
SUSE Security Update SUSE-SU-2015:1821-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151821-1.html
openSUSE Security Update openSUSE-SU-2015:1907-1:
http://lists.opensuse.org/opensuse-updates/2015-11/msg00033.html
openSUSE Security Update openSUSE-SU-2015:1919-1:
http://lists.opensuse.org/opensuse-updates/2015-11/msg00040.html
Red Hat Security Advisory RHSA-2015:2077:
http://rhn.redhat.com/errata/RHSA-2015-2077.html
Red Hat Security Advisory RHSA-2015:2081:
http://rhn.redhat.com/errata/RHSA-2015-2081.html
Red Hat Security Advisory RHSA-2015:2083:
http://rhn.redhat.com/errata/RHSA-2015-2083.html
Red Hat Security Advisory RHSA-2015:2078:
http://rhn.redhat.com/errata/RHSA-2015-2078.html
SUSE Security Update SUSE-SU-2016:0482-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160482-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
