DFN-CERT-2017-1752 PostgreSQL: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

DFN-CERT-2017-1752 PostgreSQL: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PostgreSQL

Betroffene Plattformen:

Red Hat Enterprise Linux for Scientific Computing 6
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Workstation 6

Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen und sich möglicherweise durch Eingabe eines leeren Passworts als
Datenbankbenutzer an einer PostgreSQL-Datenbank anmelden.

Red Hat stellt für verschiedene Red Hat Enterprise Linux 6 Produktvarianten
Sicherheitsupdates für PostgreSQL bereit. Die Updates sind unter anderem für
Red Hat Enterprise Linux Desktop, Server und Workstation sowie für Red Hat
Enterprise Linux for Scientific Computing erhältlich.

Patch:

Red Hat Security Advisory RHSA-2017:2860

https://access.redhat.com/errata/RHSA-2017:2860

CVE-2017-7546: Schwachstelle in PostgreSQL ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Bibliothek libpq und dadurch auch alle Verbindungstreiber, die auf libpq
zurückgreifen, ignorieren beim Authentifizierungsvorgang leere Passwörter,
senden diese also nicht an den Server. Durch Setzen eines leeren Passwortes
kann dadurch effektiv die Authentifizierung über Passworte verhindert
werden. Dies gilt allerdings nicht für Verbindungstreiber, die nicht auf
libpq zurückgreifen, so dass ein Angreifer sich in einer solchen Situation
ohne Passwort am System anmelden kann. Die Schwachstelle existiert im Core
Server und wird vom Hersteller mit der Schwachstellenklasse ‘A’
(Privilegieneskalation ohne gültigen Login) eingestuft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1752/

Schwachstelle CVE-2017-7546 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7546

Red Hat Security Advisory RHSA-2017:2860:
https://access.redhat.com/errata/RHSA-2017:2860

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben