Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket postgresql

Betroffene Plattformen:

Mandriva Linux 2011
Mandriva Linux 2011/X86_64
Mandriva Enterprise Server 5
Mandriva Enterprise Server 5/X86_64

Schwachstellen in PostgreSQL erlauben einem Angreifer beliebige System-Daten
zu verändern und auszulesen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://www.mandriva.com/security

CVE-2012-3489: Schwachstelle in PostgreSQL

In PostgreSQL ist es möglich, externe Dateien mittels Verweisen in
XML-Entities herunterzuladen. Dies kann ein Angreifer ausnutzen, um mittels
eines unprivilegierten DB-Nutzers beliebige System-Daten mit den Rechten des
DB-Servers auszulesen. Obwohl die Daten nicht direkt an den Angreifer
zurückgegeben werden, ist es möglich, dass Teile davon in Fehlermeldungen
ausgegeben werden.

CVE-2012-3488: Schwachstelle in PostgreSQL

Libxslt erlaubt es mittels Befehlen im Stylesheet Daten aus Dateien und URLs
sowohl zu lesen, als auch zu schreiben. Dies erlaubt einem Angreifer mit
Zugriff auf einen unprivilegierten DB-Nutzer mithilfe von präparierten
SQL-Anfragen beliebige System-Daten mit den Rechten des DB-Servers zu lesen
und zu schreiben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1611/

Das Hersteller Advisory:
http://www.mandriva.com/security/advisories?name=MDVSA-2012:139

Schwachstelle CVE-2012-3488:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3488

Schwachstelle CVE-2012-3489:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-3489

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.