Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (29.05.2017):
Die PostgreSQL Global Development Group informiert ebenfalls in einer
Sicherheitsmeldung (PostgreSQL Security Announcement) über die
Schwachstellen und benennt dort auch die Versionen 9.4.12, 9.3.17 und
9.2.21 als Sicherheitsupdates, wobei die Version 9.2.21 die Schwachstelle
CVE-2017-7485 nicht adressiert, da die 9.2.x-Versionen von dieser nicht
betroffen sind.
Version 2 (15.05.2017):
Debian stellt für die stabile Distribution Jessie ein
Backport-Sicherheitsupdate für PostgreSQL bereit.
Version 1 (12.05.2017):
Neues Advisory
Betroffene Software:
PostgreSQL < 9.2.21 PostgreSQL < 9.3.17 PostgreSQL < 9.4.12 PostgreSQL < 9.5.7 PostgreSQL < 9.6.3 Betroffene Plattformen: Debian Linux 8.8 Jessie Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Eine Schwachstelle in PostgreSQL ermöglicht es einem entfernten, nicht authentisierten Angreifer Sicherheitsvorkehrungen zu umgehen und darüber Informationen auszuspähen oder Daten zu manipulieren. Zwei weitere Schwachstellen ermöglichen zudem einem einfach authentisierten Angreifer im benachbarten Netzwerk das Ausspähen von Informationen, in einem Fall können dies sogar Benutzerkennwörter sein. Für Fedora 24 und 25 steht PostgreSQL in der Version 9.5.7 und für Fedora 26 in der Version 9.6.3 als Sicherheitsupdate zur Verfügung. Zusätzlich steht für Fedora 26 das Paket 'mingw-postgresql-9.6.3-1.fc26' als Sicherheitsupdate bereit. Das Sicherheitsupdate für Fedora 25 befindet sich im Status 'testing', während die anderen noch im Status 'pending' sind. Patch: PostgreSQL Security Announcement http://www.postgresql.org/support/security/
Patch:
Fedora Security Update FEDORA-2017-0d5817efc0 (Fedora 26,
mingw-postgresql-9.6.3-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0d5817efc0
Patch:
Fedora Security Update FEDORA-2017-4de07172f4 (Fedora 24,
postgresql-9.5.7-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4de07172f4
Patch:
Fedora Security Update FEDORA-2017-a45fb81029 (Fedora 26,
postgresql-9.6.3-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a45fb81029
Patch:
Fedora Security Update FEDORA-2017-a8f4562bf5 (Fedora 25,
postgresql-9.5.7-1)
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a8f4562bf5
Patch:
Debian Security Advisory DSA-3851-1
https://www.debian.org/security/2017/dsa-3851
CVE-2017-7486: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen
Eine Schwachstelle in ‘pg_user_mappings’ in PostgreSQL ermöglicht es einem
Benutzer, der Besitzer eines ‘foreign server’-Objektes ist, oder jedem der
über ‘USAGE’-Berechtigungen für einen Server verfügt, die Optionen
sämtlicher Benutzerzuordnungen (User Mappings) einzusehen. Dies schließt die
Passwörter anderer Benutzer mit ein, wenn diese als ‘user mapping option’
gespeichert werden. Ein einfach authentisierter Angreifer im benachbarten
Netzwerk kann sensitive Informationen ausspähen.
CVE-2017-7485: Schwachstelle in PostgreSQL ermöglicht Umgehen von
Sicherheitsvorkehrungen
Mit der PostgreSQL Version 9.3 ist die Verarbeitung der Umgebungsvariablen
‘PGREQUIRESSL’ unbeabsichtigt verworfen worden, was aber in der
Dokumentation nicht berücksichtigt wurde. Dies hat eine
Sicherheitsanfälligkeit zur Folge, da die Erzwingung einer gesicherten
SSL-Verbindung durch die Verwendung dieser Umgebungsvariablen nicht
garantiert ist. Ein entfernter, nicht authentisierter Angreifer kann das
ausnutzen und Sicherheitsvorkehrungen umgehen, wodurch dieser in der Lage
ist Informationen auszuspähen oder in einem Man-in-the-Middle-Angriff Daten
zu manipulieren.
CVE-2017-7484: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen
Aufgrund unzureichender Überprüfung von Zugriffsrechten, bei der Verwendung
Benutzer-definierter Operatoren in einigen Auswahlberechnungsfunktionen für
Werte aus ‘pg_statistic’, besteht eine Schwachstelle in PostgreSQL. Dies
ermöglicht es einem Benutzer, in der Rolle als Angreifer, Einträge
einzusehen, für die er keine Zugriffsrechte hat. Ein einfach authentisierter
Angreifer im benachbarten Netzwerk kann Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0837/
PostgreSQL Security Announcement:
http://www.postgresql.org/support/security/
Fedora Security Update FEDORA-2017-0d5817efc0 (Fedora 26,
mingw-postgresql-9.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0d5817efc0
Fedora Security Update FEDORA-2017-4de07172f4 (Fedora 24, postgresql-9.5.7-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4de07172f4
Fedora Security Update FEDORA-2017-a45fb81029 (Fedora 26, postgresql-9.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a45fb81029
Fedora Security Update FEDORA-2017-a8f4562bf5 (Fedora 25, postgresql-9.5.7-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a8f4562bf5
PostgreSQL 9.5.7 Release Notes:
https://www.postgresql.org/docs/9.5/static/release-9-5-7.html
PostgreSQL 9.6.3 Release Notes:
https://www.postgresql.org/docs/9.6/static/release-9-6-3.html
Schwachstelle CVE-2017-7484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7484
Schwachstelle CVE-2017-7485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7485
Schwachstelle CVE-2017-7486 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7486
Debian Security Advisory DSA-3851-1:
https://www.debian.org/security/2017/dsa-3851
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
