DFN-CERT-2014-0225 Debian Linux, PostgreSQL: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

DFN-CERT-2014-0225 Debian Linux, PostgreSQL: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

PostgreSQL < 8.4 PostgreSQL < 9.1 Betroffene Plattformen: Debian Linux 6.0.8 Squeeze Mehrere Schwachstellen in PostgreSQL ermöglichen es sowohl entfernten, wie auch lokal angemeldeten Angreifern Denial-of-Service-Angriffe durch- oder beliebige Befehle auszuführen. Patch: Debian Security Advisory DSA-2864 http://www.debian.org/security/2014/dsa-2864

Patch:

Debian Security Advisory DSA-2865

http://www.debian.org/security/2014/dsa-2865

CVE-2014-0067: Schwachstelle im ‘make check’ Kommando in PostgreSQL

Eine Schwachstelle während der Ausführung des Kommandos ‘make check’
innerhalb der ‘regression tests’, führt dazu, dass jeder Benutzer, der auf
dem selben System angemeldet ist, sich als Datenbank Superuser anmelden
kann. Ein lokaler, angemeldeter Angreifer kann durch nicht näher beschrieben
Aktionen die Rechte des Benutzers erlangen, der die Test Suite gestartet
hat.

CVE-2014-0066: Schwachstelle in PostgreSQL – chkpass

Eine Schwachstelle in der chkpass Erweiterung von PostgreSQL führt dazu, das
das Ergebnis eines Aufrufs der crypt() Funktion nicht geprüft wird und
PostgreSQL dadurch abstürzt. Ein entfernter, authentifizierter Angreifer
kann durch Ausnutzen der Schwachstelle einen Denial-of-Service-Angriff
durchführen.

CVE-2014-0065: Pufferüberlauf-Schwachstellen in PostgreSQL

Mehrere nicht näher beschriebene Schwachstellen können zu Pufferüberläufen
führen. Ein entfernter, authentifizierter Angreifer kann durch nicht näher
beschriebene Aktionen einen Denial-of-Service-Angriff durch- oder beliebige
Befehle ausführen.

CVE-2014-0064: Integer-Überlauf-Schwachstellen in PostgreSQL

Mehrere nicht näher beschriebene Schwachstellen in PostgreSQL führen zu
Integer-Überläufen. Ein entfernter, authentifizierter Angreifer kann durch
nicht näher beschriebene Aktionen einen Denial-of-Service-Angriff durch-
oder beliebige Befehle ausführen.

CVE-2014-0063: Schwachstelle in PostgreSQL – datetime

Eine Schwachstelle in PostgreSQL führt dazu, dass der Puffer für die Ausgabe
von Datetime zu klein ist, wodurch es zu einem Pufferüberlauf kommt. Ein
entfernter, authentifizierter Angreifer kann durch Ausnutzen der
Schwachstelle einen Denial-of-Service-Angriff durch- oder beliebige Befehle
ausführen.

CVE-2014-0062: Schwachstelle in PostgreSQL – create index

Eine Schwachstelle während des Ausführen von “CREATE INDEX” führt dazu, dass
Tabellen gleichen Namens in anderen Schemata gefunden werden. Dadurch ist es
möglich Indexe auf Tabellen zu erzeugen, die dem Aufrufer der Funktion
“CREATE INDEX” nicht gehören. Ein entfernter, authentifizierter Angreifer
kann durch Ausnutzen der Schwachstelle seine Benutzerbrechtigungen erhöhen.

CVE-2014-0061: Schwachstelle in PostgreSQL – PLs

Eine Schwachstelle in der Überprüfungsfunktion der ‘procedural language’ PLs
führt dazu, dass bestimmte Befehle ausgeführt werden können, die zu einer
Privilegieneskalation führen. Ein entfernter, authentifizierter Angreifer
kann durch Ausnutzen der Schwachstelle höhere Benutzerrechte erlangen.

CVE-2014-0060: Schwachstelle in der Verwaltung der Rollenrestriktionen in
PostgreSQL

Eine Schwachstelle in der Verwaltung der Restriktionen, die durch eine Rolle
gesetzt werden, führt dazu, dass es möglich ist, ohne die Administrator
Option Benutzer zu einer Rolle hinzuzufügen oder zu löschen, wenn vorher das
Kommando “SET ROLE” ausgeführt wird. Ein entfernter, authentifizierter
Angreifer kann durch Ausnutzen der Schwachstelle unberechtigt Benutzer zu
einer Rolle hinzufügen oder entfernen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0225/

Debian Security Advisory DSA-2864:
http://www.debian.org/security/2014/dsa-2864

Debian Security Advisory DSA-2865:
http://www.debian.org/security/2014/dsa-2865

Schwachstelle CVE-2014-0063 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0063

Schwachstelle CVE-2014-0064 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0064

Schwachstelle CVE-2014-0065 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0065

Schwachstelle CVE-2014-0062 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0062

Schwachstelle CVE-2014-0061 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0061

Schwachstelle CVE-2014-0060 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0060

Schwachstelle CVE-2014-0067 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0067

Schwachstelle CVE-2014-0066 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0066

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben