Errata ALT-PU-2022-2732-1: Информация
Имя пакета: postgresql9.5
Версия: 9.5.9-alt0.M70C.2
Бюллетень изменен: 5 октября 2022 г.
Задание: #306725
Исправления
Опубликовано: 29 октября 2019 г.
BDU:2019-03221
Уязвимость функции SECURITY DEFINER системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольные SQL команды
Важность: HIGH (8,8) Вектор: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 22 ноября 2017 г.
BDU:2019-03335
Уязвимость системы управления базами данных PostgreSQL, связанная с возможностью работы под учетной записью операционной системы без полномочий root, позволяющая нарушителю выполнить произвольный код
Важность: MEDIUM (6,7) Вектор: AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 12 ноября 2020 г.
BDU:2020-05465
Уязвимость компонента core server системы управления базами данных PostgreSQL, позволяющая нарушителю оказать влияние на целостность, доступность и конфиденциальность данных
Важность: CRITICAL (9,8) Вектор: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 12 ноября 2020 г.
BDU:2020-05466
Уязвимость реализации мета-команды «gset» системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольный код
Важность: HIGH (8,1) Вектор: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 11 ноября 2021 г.
BDU:2021-05857
Уязвимость системы управления базами данных PostgreSQL, связанная с непринятием мер по шифрованию защищаемых данных, позволяющая нарушителю реализовать атаку типа «человек посередине»
Важность: HIGH (8,1) Вектор: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 11 ноября 2021 г.
BDU:2021-05996
Уязвимость системы управления базами данных PostgreSQL, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить произвольный код
Важность: HIGH (8,1) Вектор: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 11 августа 2022 г.
BDU:2022-04971
Уязвимость системы управления базами данных PostgreSQL, связанная с ошибками при использовании команд OR расширениями, позволяющая нарушителю повысить свои привилегии и заменить произвольные объекты в базе данных
Важность: HIGH (8,0) Вектор: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 22 ноября 2017 г.
Изменено: 10 октября 2019 г.
Изменено: 10 октября 2019 г.
CVE-2017-12172
PostgreSQL 10.x before 10.1, 9.6.x before 9.6.6, 9.5.x before 9.5.10, 9.4.x before 9.4.15, 9.3.x before 9.3.20, and 9.2.x before 9.2.24 runs under a non-root operating system account, and database superusers have effective ability to run arbitrary code under that system account. PostgreSQL provides a script for starting the database server during system boot. Packages of PostgreSQL for many operating systems provide their own, packager-authored startup implementations. Several implementations use a log file name that the database superuser can replace with a symbolic link. As root, they open(), chmod() and/or chown() this log file name. This often suffices for the database superuser to escalate to root privileges when root starts the server.
Важность: MEDIUM (6,7) Вектор: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 29 октября 2019 г.
Изменено: 17 августа 2020 г.
Изменено: 17 августа 2020 г.
CVE-2019-10208
A flaw was discovered in postgresql versions 9.4.x before 9.4.24, 9.5.x before 9.5.19, 9.6.x before 9.6.15, 10.x before 10.10 and 11.x before 11.5 where arbitrary SQL statements can be executed given a suitable SECURITY DEFINER function. An attacker, with EXECUTE permission on the function, can execute arbitrary SQL as the owner of the function.
Важность: HIGH (8,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 16 ноября 2020 г.
Изменено: 19 октября 2022 г.
Изменено: 19 октября 2022 г.
CVE-2020-25695
A flaw was found in PostgreSQL versions before 13.1, before 12.5, before 11.10, before 10.15, before 9.6.20 and before 9.5.24. An attacker having permission to create non-temporary objects in at least one schema can execute arbitrary SQL functions under the identity of a superuser. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
Важность: HIGH (8,8) Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 24 ноября 2020 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2020-25696
A flaw was found in the psql interactive terminal of PostgreSQL in versions before 13.1, before 12.5, before 11.10, before 10.15, before 9.6.20 and before 9.5.24. If an interactive psql session uses \gset when querying a compromised server, the attacker can execute arbitrary code as the operating system account running psql. The highest threat from this vulnerability is to data confidentiality and integrity as well as system availability.
Важность: HIGH (7,5) Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H
Ссылки:
Опубликовано: 4 марта 2022 г.
Изменено: 7 ноября 2023 г.
Изменено: 7 ноября 2023 г.
CVE-2021-23214
When the server is configured to use trust authentication with a clientcert requirement or to use cert authentication, a man-in-the-middle attacker can inject arbitrary SQL queries when a connection is first established, despite the use of SSL certificate verification and encryption.
Важность: HIGH (8,1) Вектор: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Ссылки:
- https://www.postgresql.org/support/security/CVE-2021-23214/
- https://github.com/postgres/postgres/commit/28e24125541545483093819efae9bca603441951
- https://bugzilla.redhat.com/show_bug.cgi?id=2022666
- GLSA-202211-04
- https://git.postgresql.org/gitweb/?p=postgresql.git%3Ba=commit%3Bh=28e24125541545483093819efae9bca603441951
Опубликовано: 18 августа 2022 г.
Изменено: 2 декабря 2022 г.
Изменено: 2 декабря 2022 г.
CVE-2022-2625
A vulnerability was found in PostgreSQL. This attack requires permission to create non-temporary objects in at least one schema, the ability to lure or wait for an administrator to create or update an affected extension in that schema, and the ability to lure or wait for a victim to use the object targeted in CREATE OR REPLACE or CREATE IF NOT EXISTS. Given all three prerequisites, this flaw allows an attacker to run arbitrary code as the victim role, which may be a superuser.
Важность: HIGH (8,0) Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Ссылки: