Kurzinfo CB-K16/0237 Update 4

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: PostgreSQL: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff und eine Privilegieneskalation
Datum: 24.02.2016
Software: PostgreSQL < 8.2.6, PostgreSQL 9.1, PostgreSQL 9.2, PostgreSQL 9.3, PostgreSQL 9.4, PostgreSQL 9.5
Plattform: SUSE Linux Enterprise Software Development Kit 12, SUSE Linux Enterprise Software Development Kit 12 SP1, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie, GNU/Linux, Microsoft Windows , openSUSE 13.2, openSUSE Leap 42.1, SUSE Linux Enterprise Desktop 12, SUSE Linux Enterprise Desktop 12 SP1, SUSE Linux Enterprise Server 12, SUSE Linux Enterprise Server 12 SP1, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Denial-of-Service
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2007-4772, CVE-2015-5288, CVE-2016-0766, CVE-2016-0773
Bezug: PostgreSQL Security Update 9.5.1, 9.4.6, 9.3.11, 9.2.15 und 9.1.20
Beschreibung

PostgreSQL ist ein freies, objektrelationales Datenbankmanagementsystem.

Es existiert eine Schwachstelle in PostgreSQL, die einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff ermöglicht. Eine weitere Schwachstelle in der Erweiterung PL/Java für PostgreSQL ermöglicht einem entfernten, einfach authentifizierten Angreifer die Eskalation seiner Privilegien. Die PostgreSQL Global Development Group stellt Sicherheitsupdates auf die Versionen 9.5.1, 9.4.6, 9.3.11, 9.2.15 und 9.1.20 bereit, die diese Schwachstellen beheben. Fedora stellt für die Distributionen Fedora 22 und 23 mit den Paketen postgresql-9.4.6-1.fc22 und postgresql-9.4.6-1.fc23 Sicherheitsupdates im Status 'testing' zur Verfügung. Canonical stellt für Ubuntu 15.10 ein Sicherheitsupdate auf die Version 9.4.6, für Ubuntu 14.04 LTS auf Version 9.3.11 und für Ubuntu 12.04 LTS auf Version 9.1.20 bereit. Update: Für die Produkte SUSE Linux Enterprise Software Development Kit 12 (mit und ohne SP1), Server 12 (mit und ohne SP1) und Desktop 12 (mit und ohne SP1) stehen Sicherheitsupdates auf die Version 9.4.6 bereit. Die Schwachstelle CVE-2015-5288 wird nicht erwähnt, zusätzlich wird die Schwachstelle CVE-2007-4772 behoben, welche nur Versionen vor 8.2.6 betrifft. Benutzer des Versionszweiges 9.4 werden angewiesen, alle 'jsonb_path_ops'-Indizes, die sie erstellt haben, zu reindizieren. Dadurch wird ein fortbestehendes Problem mit fehlenden Indexeinträgen behoben.

  1. PostgreSQL Security Information

  2. Schwachstelle CVE-2015-5288 (NVD)

  3. Schwachstelle CVE-2007-4772 (NVD)

  4. Fedora Security Update FEDORA-2016-b0c2412ab2 (Fedora 22)

  5. Fedora Security Update FEDORA-2016-e0a6c9ebc4 (Fedora 23)

  6. PostgreSQL Security Update 9.5.1, 9.4.6, 9.3.11, 9.2.15 und 9.1.20

  7. Schwachstelle CVE-2016-0766 (NVD)

  8. Schwachstelle CVE-2016-0773 (NVD)

  9. Ubuntu Security Notice USN-2894-1

  10. Debian Security Advisory DSA-3475-1

  11. Debian Security Advisory DSA-3476-1

  12. SUSE Security Update SUSE-SU-2016:0539-1

  13. openSUSE Security Update openSUSE-SU-2016:0531-1

  14. SUSE Security Update SUSE-SU-2016:0555-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.