DFN-CERT-2012-1242 Schwachstelle in PostgreSQL [Linux][RedHat]

DFN-CERT-2012-1242 Schwachstelle in PostgreSQL [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket postgresql

Betroffene Plattformen:

RHEL Desktop Workstation (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux (v. 5 server) – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64

Eine Schwachstelle in PostgreSQL erleichert einem Angreifer Passwörter zu
erraten.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-2143: Schwachstelle in der DES Implementation der Funktion crypt()

Bei der DES-Implementation, die in der Funktion crypt() verwendet wird, ist
eine Schwachstelle bei der Verarbeitung von nicht ASCII-Zeichen vorhanden.
Bei einem Zeichen mit einem gesetzten höchstwertigen Bit (0x80) wird die
Verarbeitung dieses und aller weiteren Zeichen gestoppt. Dadurch können zum
Beispiel mit dieser Funktion generierte Password-Hashes deutlich unsicherer
sein. Ein Angreifer kann diese Schwachstelle ausnutzen um leichter ein
Passwort zu erraten.
Bitte beachten Sie, dass nach einem Update der Passwort-Hash nicht mehr der
Alte ist, falls ein Zeichen mit gesetzten höchstwertigen Bit enthalten ist.
Dadurch kann eventuell ein Zugriff über dieses Passwort nicht mehr möglich
sein.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1242/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-1036.html

Schwachstelle CVE-2012-2143:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2143

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben