DFN-CERT-2012-1148 Mehrere Schwachstellen in PostgreSQL [Linux][Fedora]

DFN-CERT-2012-1148 Mehrere Schwachstellen in PostgreSQL [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket postgresql

Betroffene Plattformen:

Fedora 15
Fedora 16
Fedora 17

Eine Schwachstelle in den Prozeduralen Call-Handlern von PostgreSQL erlaubt
es einem Angreifer schlimmstenfalls einen “Denial of Service”-Angriff auf
betroffene Systeme durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-2655: Schwachstelle in PostgreSQL

PostgreSQL enthält eine Schwachstelle bei der Einbindung von Plugins, welche
die Datenbank um Schnittstellen für andere Programmiersprachen erweitern.
Ursache hierfür ist ein fehlerhafter Umgang mit ‘SECURITY DEFINER’ und ‘SET’
Attributen durch prozedurale Call-Handler. Ein Angreifer kann die
Schwachstelle für gezielte “Denial of Service”- Angriffe auf betroffene
Systeme ausnutzen.

CVE-2012-2143: Schwachstelle in der DES Implementation der Funktion crypt()

Bei der DES-Implementation, die in der Funktion crypt() verwendet wird, ist
eine Schwachstelle bei der Verarbeitung von nicht ASCII-Zeichen vorhanden.
Bei einem Zeichen mit einem gesetzten höchstwertigen Bit (0x80) wird die
Verarbeitung dieses und aller weiteren Zeichen gestoppt. Dadurch können zum
Beispiel mit dieser Funktion generierte Password-Hashes deutlich unsicherer
sein. Ein Angreifer kann diese Schwachstelle ausnutzen um leichter ein
Passwort zu erraten.
Bitte beachten Sie, dass nach einem Update der Passwort-Hash nicht mehr der
Alte ist, falls ein Zeichen mit gesetzten höchstwertigen Bit enthalten ist.
Dadurch kann eventuell ein Zugriff über dieses Passwort nicht mehr möglich
sein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1148/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/

Schwachstelle CVE-2012-2143:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2143

Schwachstelle CVE-2012-2655:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2655

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben