—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Das Schluesselwort SECURITY DEFINER gibt bei der Erzeugung einer
Funktion an, dass diese mit den Rechten des erzeugenden Benutzers
gestartet wird. Im Gegensatz dazu wird bei SECURITY INVOKER die Funktion
mit den Rechten des aufrufenden Benutzers gestartet.

CVE-2010-3433 – Schwachstelle in PostgreSQL SECURITY DEFINER Funktion

PostgreSQL beinhaltet eine Schwachstelle bei der Bearbeitung bestimmter
SQL-Funktionen, die mit dem Schluesselwort SECURITY DEFINER erzeugt und
in einer prozeduralen Sprache inklusive PL/Perl oder PL/Tcl
implementiert sind. Der Fehler liegt darin, dass ein Angreifer die
Eigenschaften dieser Sprachen ausnutzen kann, um das Verhalten der
SECURITY DEFINER Funktion eines anderen Benutzers zu manipulieren. Ein
authentifizierter Angreifer kann diese Schwachstelle unter Umstaenden
ausnutzen, um seine Privilegien in der Datenbank zu erweitern.
Voraussetzungen sind, dass prozedurale Sprachen (PLs) unterstuetzt
werden und Funktionen mit den Schluesselworten SECURITY DEFINER, SET
ROLE und SET SESSION AUTHORIZATION zur Aenderung der Privilegien
definiert sind.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket postgresql

Fedora 14

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2010-15852
2010-10-07 19:44:41
– ——————————————————————————–

Name : postgresql
Product : Fedora 14
Version : 8.4.5
Release : 1.fc14
URL : http://www.postgresql.org/
Summary : PostgreSQL client programs
Description :
PostgreSQL is an advanced Object-Relational database management system
(DBMS) that supports almost all SQL constructs (including
transactions, subselects and user-defined types and functions). The
postgresql package includes the client programs and libraries that
you’ll need to access a PostgreSQL DBMS server. These PostgreSQL
client programs are programs that directly manipulate the internal
structure of PostgreSQL databases on a PostgreSQL server. These client
programs can be located on the same machine with the PostgreSQL
server, or may be on a remote machine which accesses a PostgreSQL
server over a network connection. This package contains the docs
in HTML for the whole package, as well as command-line utilities for
managing PostgreSQL databases on a PostgreSQL server.

If you want to manipulate a PostgreSQL database on a local or remote PostgreSQL
server, you need this package. You also need to install this package
if you’re installing the postgresql-server package.

– ——————————————————————————–
Update Information:

Update to PostgreSQL 8.4.5, for various fixes described at
http://www.postgresql.org/docs/8.4/static/release-8-4-5.html
including the fix for CVE-2010-3433
– ——————————————————————————–
References:

[ 1 ] Bug #639371 – CVE-2010-3433 PostgreSQL (PL/Perl, PL/Tcl): SECURITY DEFINER function keyword bypass
https://bugzilla.redhat.com/show_bug.cgi?id=639371
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update postgresql’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iEYEARECAAYFAky8UU8ACgkQWmhIvjFb90UQ3QCfaExfux0WuxweVBYj62MYT/A6
CQYAn1SzeU+C5je3bnRD1Vym0GYpcckQ
=uLvo
—–END PGP SIGNATURE—–