UPDATE: DFN-CERT-2017-1416 PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE][Unix][Apple][FreeBSD][OpenBSD][Solaris][Windows]

UPDATE: DFN-CERT-2017-1416 PostgreSQL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][SuSE][Unix][Apple][FreeBSD][OpenBSD][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (31.08.2017):
Für openSUSE Leap 42.2 und openSUSE Leap 42.3 stehen Sicherheitsupdates
auf die Postgresql93 Version 9.3.18 bereit, um diese Schwachstellen zu
beheben.
Version 5 (28.08.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4,
Server 11 SP4 und 11 SP3 LTSS sowie Debuginfo 11 SP4 und 11 SP3 stehen
Sicherheitsupdates auf die Postgresql94 Version 9.4.13 zur Behebung der
Schwachstellen zur Verfügung.
Version 4 (23.08.2017):
Für SUSE Linux Enterprise Server 12 LTSS und Server für SAP 12 stehen
Sicherheitsupdates auf die Postgresql93 Version 9.3.18 zur Behebung der
Schwachstellen bereit.
Version 3 (16.08.2017):
Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und
Ubuntu 14.04 LTS aktualisierte ‘postgresql’-Pakete als Sicherheitsupdates
bereit. Für Ubuntu 17.04 wird das ‘postgresql-9.6’-Paket, für Ubuntu 16.04
LTS das ‘postgresql-9.5’- und für Ubuntu 14.04 LTS das
‘postgresql-9.3’-Paket aktualisiert.
Version 2 (14.08.2017):
Für Fedora 25 und 26 stehen mit den Paketen ‘postgresql-9.5.8-1.fc25’ und
‘postgresql-9.6.4-1.fc26’ Sicherheitsupdates auf aktuelle Versionen von
PostgreSQL im Status ‘testing’ bereit. Debian stellt für die stabile
Distribution Stretch ein Sicherheitsupdate auf die Version 9.6.4 und für
die alte stabile Distribution Jessie ein Sicherheitsupdate auf Version
9.4.13 bereit.
Version 1 (11.08.2017):
Neues Advisory

Betroffene Software:

PostgreSQL < 9.2.22 PostgreSQL < 9.3.18 PostgreSQL < 9.4.13 PostgreSQL < 9.5.8 PostgreSQL < 9.6.4 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP3 SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Debian Linux 8.9 Jessie Debian Linux 9.1 Stretch FreeBSD GNU/Linux Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Server 11 SP3 LTSS SUSE Linux Enterprise Server 11 SP4 SUSE Linux Enterprise Server 12 LTSS SUSE Linux Enterprise Server for SAP 12 OpenBSD Oracle Solaris Red Hat Fedora 25 Red Hat Fedora 26 Eine Schwachstelle in PostgreSQL ermöglicht einem entfernten, nicht authentisierten Angreifer, sich ohne Passwort an betroffenen Systemen anzumelden und dadurch weitere Angriffe durchzuführen. Zwei weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer die Eskalation seiner Privilegien, um dadurch möglicherweise sensitive Informationen auszuspähen und Daten zu manipulieren. Der Hersteller stellt die Versionen 9.6.4, 9.5.8, 9.4.13, 9.3.18 und 9.2.22 als Sicherheitsupdates bereit und kündigt an, dass der Versionszweig 9.2 ab September nicht weiter unterstützt wird (End-of-Life). Darüber hinaus weist der Hersteller darauf hin, dass der Patch für CVE-2017-7547 nur neu erstellte Cluster beeinflusst. Für bereits bestehende Cluster findet sich eine detaillierte Anleitung im Sicherheitshinweis. Für das MinGW-Projekt in Fedora 26 steht mit dem Paket 'mingw-postgresql-9.6.4-1.fc26' ein Sicherheitsupdate auf Version 9.6.4 im Status 'pending' bereit. Patch: PostgreSQL Security Information http://www.postgresql.org/support/security/

Patch:

Fedora Security Update FEDORA-2017-9148fe36b9 (Fedora 25,
postgresql-9.5.8-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9148fe36b9

Patch:

Fedora Security Update FEDORA-2017-d9cac37bd8 (Fedora 26,
postgresql-9.6.4-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-d9cac37bd8

Patch:

Fedora Security Update FEDORA-2017-f9e66916ec (Fedora 26,
mingw-postgresql-9.6.4-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f9e66916ec

Patch:

PostgreSQL 9.6.4 Release Notes

https://www.postgresql.org/docs/9.6/static/release-9-6-4.html

Patch:

PostgreSQL 9.6.4, 9.5.8, 9.4.13, 9.3.18, 9.2.22 Release Notes

https://www.postgresql.org/about/news/1772/

Patch:

Debian Security Advisory DSA-3935-1

https://www.debian.org/security/2017/dsa-3935

Patch:

Debian Security Advisory DSA-3936-1

https://www.debian.org/security/2017/dsa-3936

Patch:

Ubuntu Security Notice USN-3390-1

http://www.ubuntu.com/usn/usn-3390-1/

Patch:

SUSE Security Update SUSE-SU-2017:2236-1

http://lists.suse.com/pipermail/sle-security-updates/2017-August/003151.html

Patch:

SUSE Security Update SUSE-SU-2017:2258-1

http://lists.suse.com/pipermail/sle-security-updates/2017-August/003158.html

Patch:

openSUSE Security Update openSUSE-SU-2017:2306-1

http://lists.opensuse.org/opensuse-updates/2017-08/msg00111.html

CVE-2017-7548: Schwachstelle in PostgreSQL ermöglicht Privilegieneskalation

Aufgrund einer fehlenden Berechtigungsprüfung für die Ausführung der
Funktion ‘lo_put’ kann ein entfernter, einfach authentisierter Angreifer die
Daten eines großen Objekts manipulieren. Die Schwachstelle existiert im Core
Server und wird vom Hersteller mit der Schwachstellenklasse ‘C’
(Privilegieneskalation mit gültigem Login) eingestuft.

CVE-2017-7547: Schwachstelle in PostgreSQL ermöglicht Ausspähen von
Informationen

Benutzer von PostgreSQL haben unabhängig von der Berechtigung ‘USAGE’ auf
dem assoziierten Server die Möglichkeit, die Optionen in ‘pg_user_mappings’
zu sehen. Dazu gehören auch senstiive Details wie Passwörter, die vom
Server-Administrator gesetzt wurden. Ein entfernter, einfach authentisierter
Angreifer kann dadurch Informationen ausspähen. Die Schwachstelle existiert
im Core Server und wird vom Hersteller mit der Schwachstellenklasse ‘C’
(Privilegieneskalation mit gültigem Login) eingestuft. Die Schwachstelle
besteht aufgrund eines unvollständigen Patches für CVE-2017-7486.

CVE-2017-7546: Schwachstelle in PostgreSQL ermöglicht Umgehen von
Sicherheitsvorkehrungen

Die Bibliothek libpq und dadurch auch alle Verbindungstreiber, die auf libpq
zurückgreifen, ignorieren beim Authentifizierungsvorgang leere Passwörter,
senden diese also nicht an den Server. Durch Setzen eines leeren Passwortes
kann dadurch effektiv die Authentifizierung über Passworte verhindert
werden. Dies gilt allerdings nicht für Verbindungstreiber, die nicht auf
libpq zurückgreifen, so dass ein entfernter, nicht authentisierter Angreifer
sich in einer solchen Situation ohne Passwort am System anmelden kann. Die
Schwachstelle existiert im Core Server und wird vom Hersteller mit der
Schwachstellenklasse ‘A’ (Privilegieneskalation ohne gültigen Login)
eingestuft.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1416/

PostgreSQL Security Information:
http://www.postgresql.org/support/security/

Fedora Security Update FEDORA-2017-9148fe36b9 (Fedora 25, postgresql-9.5.8-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9148fe36b9

Fedora Security Update FEDORA-2017-d9cac37bd8 (Fedora 26, postgresql-9.6.4-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-d9cac37bd8

Fedora Security Update FEDORA-2017-f9e66916ec (Fedora 26,
mingw-postgresql-9.6.4-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f9e66916ec

PostgreSQL 9.6.4 Release Notes:
https://www.postgresql.org/docs/9.6/static/release-9-6-4.html

PostgreSQL 9.6.4, 9.5.8, 9.4.13, 9.3.18, 9.2.22 Release Notes:
https://www.postgresql.org/about/news/1772/

Schwachstelle CVE-2017-7546 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7546

Schwachstelle CVE-2017-7547 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7547

Schwachstelle CVE-2017-7548 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7548

Debian Security Advisory DSA-3935-1:
https://www.debian.org/security/2017/dsa-3935

Debian Security Advisory DSA-3936-1:
https://www.debian.org/security/2017/dsa-3936

Ubuntu Security Notice USN-3390-1:
http://www.ubuntu.com/usn/usn-3390-1/

SUSE Security Update SUSE-SU-2017:2236-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003151.html

SUSE Security Update SUSE-SU-2017:2258-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-August/003158.html

openSUSE Security Update openSUSE-SU-2017:2306-1:
http://lists.opensuse.org/opensuse-updates/2017-08/msg00111.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben