UPDATE: DFN-CERT-2017-0837 PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE]

UPDATE: DFN-CERT-2017-0837 PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][RedHat][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 12 (09.08.2017):
Oracle stellt für Oracle Linux 7 (x86_64) das Paket
‘postgresql-9.2.21-1.el7’ als Sicherheitsupdate zur Verfügung, um die
Schwachstellen CVE-2017-7484 und CVE-2017-7486 zu beheben. Damit wird
PostgreSQL in Oracle Linux 7 auf Version 9.2.21 aktualisiert.
Version 11 (02.08.2017):
Red Hat stellt für verschiedene Red Hat Enterprise Linux Releases aus den
Bereichen Client, ComputeNode, Server und Workstation Sicherheitsupdates
für ‘postgresql’ bereit, um die Schwachstellen CVE-2017-7484 und
CVE-2017-7486 zu beheben. Mit dem im Rahmen des Releases von Red Hat
Enterprise Linux 7.4 veröffentlichten Updates wird ‘postgresql’ auf
Version 9.2.21 aktualisiert.
Version 10 (01.08.2017):
Red Hat stellt für Red Hat Satellite, Red Hat Satellite ELS, Red Hat
Satellite ManagedDB sowie Red Hat Satellite ManagedDB ELS in der Version
5.8 für Red Hat Enterprise Linux 6 Sicherheitsupdates für
‘rh-postgresql95-postgresql’ bereit. Red Hat weist darauf hin, dass die
Migration von ‘postgresql92-postgresql’ auf ‘rh-postgresql95-postgresql’
manuelle Schritte erfordert. Betroffene Satelliten verwenden PostgreSQL
9.2 weiter, sollten diese Schritte nicht unternommen werden.
Version 9 (06.07.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit, Server
und Debuginfo in der Version 11 SP4 stehen Sicherheitsupdates zur Behebung
der PostgreSQL-Schwachstellen bereit.
Version 8 (05.07.2017):
Red Hat hat für Red Hat Software Collections 1 for RHEL 6 und Red Hat
Software Collections 1 for RHEL 7 jeweils Sicherheitsupdates für
‘rh-postgresql95-postgresql’ auf Version 9.5.7 und
‘rh-postgresql94-postgresql’ auf Version 9.4.12 bereitgestellt, um diese
Schwachstellen zu beheben.
Version 7 (05.07.2017):
Für openSUSE Leap 42.2 steht ein weiteres Sicherheitsupdate, diesmal in
Form der PostgreSQL Version 9.4.12, zur Behebung der Schwachstellen
bereit.
Version 6 (26.06.2017):
Für die SUSE Linux Enterprise Produkte Desktop, Server, Server for
Raspberry Pi und Software Development Kit in Version 12 SP2 stehen
Sicherheitsupdates für ‘postgresql94’ bereit, mit denen die Software auf
Version 9.4.12 aktualisiert wird und die Schwachstellen behoben werden.
Version 5 (07.06.2017):
Für openSUSE Leap 42.2 steht PostgreSQL in der Version 9.3.17 als
Sicherheitsupdate bereit, über welches neben den drei Schwachstellen auch
eine Reihe von Bugs behoben werden.
Version 4 (31.05.2017):
SUSE veröffentlicht für die SUSE Linux Enterprise Produktvarianten Server
for SAP 12 und Server 12 LTSS postgresql93-Sicherheitsupdates zur Behebung
der Schwachstellen.
Version 3 (29.05.2017):
Die PostgreSQL Global Development Group informiert ebenfalls in einer
Sicherheitsmeldung (PostgreSQL Security Announcement) über die
Schwachstellen und benennt dort auch die Versionen 9.4.12, 9.3.17 und
9.2.21 als Sicherheitsupdates, wobei die Version 9.2.21 die Schwachstelle
CVE-2017-7485 nicht adressiert, da die 9.2.x-Versionen von dieser nicht
betroffen sind.
Version 2 (15.05.2017):
Debian stellt für die stabile Distribution Jessie ein
Backport-Sicherheitsupdate für PostgreSQL bereit.
Version 1 (12.05.2017):
Neues Advisory

Betroffene Software:

PostgreSQL < 9.2.21 PostgreSQL < 9.3.17 PostgreSQL < 9.4.12 PostgreSQL < 9.5.7 PostgreSQL < 9.6.3 Red Hat Satellite 5.8.0 Red Hat Satellite 5.8.0 ELS Red Hat Satellite 5.8.0 ManagedDB Red Hat Satellite 5.8.0 ManagedDB ELS Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 Debian Linux 8.8 Jessie openSUSE Leap 42.2 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server for SAP 12 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Oracle Linux 7 Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 7 Red Hat Enterprise Linux for Scientific Computing 7 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server for ARM 7 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Eine Schwachstelle in PostgreSQL ermöglicht es einem entfernten, nicht authentisierten Angreifer Sicherheitsvorkehrungen zu umgehen und darüber Informationen auszuspähen oder Daten zu manipulieren. Zwei weitere Schwachstellen ermöglichen zudem einem einfach authentisierten Angreifer im benachbarten Netzwerk das Ausspähen von Informationen, in einem Fall können dies sogar Benutzerkennwörter sein. Für Fedora 24 und 25 steht PostgreSQL in der Version 9.5.7 und für Fedora 26 in der Version 9.6.3 als Sicherheitsupdate zur Verfügung. Zusätzlich steht für Fedora 26 das Paket 'mingw-postgresql-9.6.3-1.fc26' als Sicherheitsupdate bereit. Das Sicherheitsupdate für Fedora 25 befindet sich im Status 'testing', während die anderen noch im Status 'pending' sind. Patch: PostgreSQL Security Announcement http://www.postgresql.org/support/security/

Patch:

Fedora Security Update FEDORA-2017-0d5817efc0 (Fedora 26,
mingw-postgresql-9.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-0d5817efc0

Patch:

Fedora Security Update FEDORA-2017-4de07172f4 (Fedora 24,
postgresql-9.5.7-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-4de07172f4

Patch:

Fedora Security Update FEDORA-2017-a45fb81029 (Fedora 26,
postgresql-9.6.3-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a45fb81029

Patch:

Fedora Security Update FEDORA-2017-a8f4562bf5 (Fedora 25,
postgresql-9.5.7-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-a8f4562bf5

Patch:

Debian Security Advisory DSA-3851-1

https://www.debian.org/security/2017/dsa-3851

Patch:

SUSE Security Update SUSE-SU-2017:1441-1

http://lists.suse.com/pipermail/sle-security-updates/2017-May/002924.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1495-1

http://lists.opensuse.org/opensuse-updates/2017-06/msg00012.html

Patch:

SUSE Security Update SUSE-SU-2017:1690-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002981.html

Patch:

Red Hat Security Advisory RHSA-2017:1677

http://rhn.redhat.com/errata/RHSA-2017-1677.html

Patch:

Red Hat Security Advisory RHSA-2017:1678

http://rhn.redhat.com/errata/RHSA-2017-1678.html

Patch:

openSUSE Security Update openSUSE-SU-2017:1772-1

http://lists.opensuse.org/opensuse-updates/2017-07/msg00016.html

Patch:

SUSE Security Update SUSE-SU-2017:1783-1

http://lists.suse.com/pipermail/sle-security-updates/2017-July/003010.html

Patch:

Red Hat Security Advisory RHSA-2017:1838

http://rhn.redhat.com/errata/RHSA-2017-1838.html

Patch:

https://access.redhat.com/errata/RHSA-2017:1983

http://rhn.redhat.com/errata/RHSA-2017-1983.html

Patch:

Oracle Linux Security Advisory ELSA-2017-1983

https://linux.oracle.com/errata/ELSA-2017-1983.html

CVE-2017-7486: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in ‘pg_user_mappings’ in PostgreSQL ermöglicht es einem
Benutzer, der Besitzer eines ‘foreign server’-Objektes ist, oder jedem der
über ‘USAGE’-Berechtigungen für einen Server verfügt, die Optionen
sämtlicher Benutzerzuordnungen (User Mappings) einzusehen. Dies schließt die
Passwörter anderer Benutzer mit ein, wenn diese als ‘user mapping option’
gespeichert werden. Ein einfach authentisierter Angreifer im benachbarten
Netzwerk kann sensitive Informationen ausspähen.

CVE-2017-7485: Schwachstelle in PostgreSQL ermöglicht Umgehen von
Sicherheitsvorkehrungen

Mit der PostgreSQL Version 9.3 ist die Verarbeitung der Umgebungsvariablen
‘PGREQUIRESSL’ unbeabsichtigt verworfen worden, was aber in der
Dokumentation nicht berücksichtigt wurde. Dies hat eine
Sicherheitsanfälligkeit zur Folge, da die Erzwingung einer gesicherten
SSL-Verbindung durch die Verwendung dieser Umgebungsvariablen nicht
garantiert ist. Ein entfernter, nicht authentisierter Angreifer kann das
ausnutzen und Sicherheitsvorkehrungen umgehen, wodurch dieser in der Lage
ist Informationen auszuspähen oder in einem Man-in-the-Middle-Angriff Daten
zu manipulieren.

CVE-2017-7484: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen

Aufgrund unzureichender Überprüfung von Zugriffsrechten, bei der Verwendung
Benutzer-definierter Operatoren in einigen Auswahlberechnungsfunktionen für
Werte aus ‘pg_statistic’, besteht eine Schwachstelle in PostgreSQL. Dies
ermöglicht es einem Benutzer, in der Rolle als Angreifer, Einträge
einzusehen, für die er keine Zugriffsrechte hat. Ein einfach authentisierter
Angreifer im benachbarten Netzwerk kann Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0837/

PostgreSQL Security Announcement:
http://www.postgresql.org/support/security/

Fedora Security Update FEDORA-2017-0d5817efc0 (Fedora 26,
mingw-postgresql-9.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-0d5817efc0

Fedora Security Update FEDORA-2017-4de07172f4 (Fedora 24, postgresql-9.5.7-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-4de07172f4

Fedora Security Update FEDORA-2017-a45fb81029 (Fedora 26, postgresql-9.6.3-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a45fb81029

Fedora Security Update FEDORA-2017-a8f4562bf5 (Fedora 25, postgresql-9.5.7-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-a8f4562bf5

PostgreSQL 9.5.7 Release Notes:
https://www.postgresql.org/docs/9.5/static/release-9-5-7.html

PostgreSQL 9.6.3 Release Notes:
https://www.postgresql.org/docs/9.6/static/release-9-6-3.html

Schwachstelle CVE-2017-7484 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7484

Schwachstelle CVE-2017-7485 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7485

Schwachstelle CVE-2017-7486 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7486

Debian Security Advisory DSA-3851-1:
https://www.debian.org/security/2017/dsa-3851

SUSE Security Update SUSE-SU-2017:1441-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002924.html

openSUSE Security Update openSUSE-SU-2017:1495-1:
http://lists.opensuse.org/opensuse-updates/2017-06/msg00012.html

SUSE Security Update SUSE-SU-2017:1690-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002981.html

Red Hat Security Advisory RHSA-2017:1677:
http://rhn.redhat.com/errata/RHSA-2017-1677.html

Red Hat Security Advisory RHSA-2017:1678:
http://rhn.redhat.com/errata/RHSA-2017-1678.html

openSUSE Security Update openSUSE-SU-2017:1772-1:
http://lists.opensuse.org/opensuse-updates/2017-07/msg00016.html

SUSE Security Update SUSE-SU-2017:1783-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-July/003010.html

Red Hat Security Advisory RHSA-2017:1838:
http://rhn.redhat.com/errata/RHSA-2017-1838.html

https://access.redhat.com/errata/RHSA-2017:1983:
http://rhn.redhat.com/errata/RHSA-2017-1983.html

Oracle Linux Security Advisory ELSA-2017-1983:
https://linux.oracle.com/errata/ELSA-2017-1983.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben