Уязвимость CVE-2020-14350: Информация

Описание

It was found that some PostgreSQL extensions did not use search_path safely in their installation script. An attacker with sufficient privileges could use this flaw to trick an administrator into executing a specially crafted script, during the installation or update of such extension. This affects PostgreSQL versions before 12.4, before 11.9, before 10.14, before 9.6.19, and before 9.5.23.

Важность: HIGH (7,3) Вектор: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

URL: https://nvd.nist.gov/vuln/detail/CVE-2020-14350

Опубликовано: 24 августа 2020 г.

Изменено: 24 января 2023 г.

Идентификатор типа ошибки: CWE-426

Исправленные пакеты

Имя пакета	Ветка	Исправлено в версии	Версия в репозитории	Errata ID	№ Задания	Состояние
postgresql10	p10	10.14-alt1	10.23-alt1.p10.1	ALT-PU-2020-2538-1	256186	Исправлено
postgresql10	p9	10.14-alt1	10.23-alt0.M90P.1	ALT-PU-2020-2605-1	256187	Исправлено
postgresql10	p8	10.14-alt0.M80P.1	10.19-alt0.M80P.1	ALT-PU-2020-2643-1	256188	Исправлено
postgresql10	c10f1	10.14-alt1	10.23-alt1	ALT-PU-2020-2538-1	256186	Исправлено
postgresql10	c9f2	10.14-alt1	10.23-alt0.M90P.1	ALT-PU-2020-2605-1	256187	Исправлено
postgresql11	p10	11.9-alt1	11.22-alt0.p10.1	ALT-PU-2020-2540-1	256186	Исправлено
postgresql11	p9	11.9-alt1	11.22-alt0.M90P.1	ALT-PU-2020-2607-1	256187	Исправлено
postgresql11	p8	11.9-alt0.M80P.1	11.14-alt0.M80P.1	ALT-PU-2020-2645-1	256188	Исправлено
postgresql11	c10f1	11.9-alt1	11.22-alt0.p10.1	ALT-PU-2020-2540-1	256186	Исправлено
postgresql11	c9f2	11.9-alt1	11.22-alt0.M90P.1	ALT-PU-2020-2607-1	256187	Исправлено
postgresql11-1C	p8	11.9-alt0.M80P.1	11.12-alt0.M80P.2	ALT-PU-2020-2644-1	256188	Исправлено
postgresql12	sisyphus	12.4-alt1	12.18-alt1	ALT-PU-2020-2535-1	256186	Исправлено
postgresql12	p10	12.4-alt1	12.18-alt0.p10.1	ALT-PU-2020-2535-1	256186	Исправлено
postgresql12	p9	12.4-alt1	12.18-alt0.M90P.1	ALT-PU-2020-2602-1	256187	Исправлено
postgresql12	p8	12.4-alt0.M80P.1	12.9-alt0.M80P.1	ALT-PU-2020-2646-1	256188	Исправлено
postgresql12	c10f1	12.4-alt1	12.18-alt0.p10.1	ALT-PU-2020-2535-1	256186	Исправлено
postgresql12	c9f2	12.4-alt1	12.18-alt0.c9f2.1	ALT-PU-2020-2602-1	256187	Исправлено
postgresql9.5	p9	9.5.23-alt1	9.5.25-alt1	ALT-PU-2020-2603-1	256187	Исправлено
postgresql9.5	p8	9.5.23-alt0.M80P.1	9.5.25-alt0.M80P.1	ALT-PU-2020-2641-1	256188	Исправлено
postgresql9.5	c9f2	9.5.23-alt1	9.5.25-alt1	ALT-PU-2020-2603-1	256187	Исправлено
postgresql9.6	p9	9.6.19-alt1	9.6.24-alt0.M90P.1	ALT-PU-2020-2604-1	256187	Исправлено
postgresql9.6	p8	9.6.19-alt0.M80P.1	9.6.24-alt0.M80P.1	ALT-PU-2020-2642-1	256188	Исправлено
postgresql9.6	c9f2	9.6.19-alt1	9.6.24-alt0.M90P.1	ALT-PU-2020-2604-1	256187	Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка	Ресурс
openSUSE-SU-2020:1227	Mailing List Third Party Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=1865746	Issue Tracking Third Party Advisory
openSUSE-SU-2020:1243	Mailing List Third Party Advisory
[debian-lts-announce] 20200817 [SECURITY] [DLA 2331-1] posgresql-9.6 security update	Mailing List Third Party Advisory
openSUSE-SU-2020:1244	Mailing List Third Party Advisory
openSUSE-SU-2020:1228	Mailing List Third Party Advisory
GLSA-202008-13	Third Party Advisory
USN-4472-1	Third Party Advisory
openSUSE-SU-2020:1312	Mailing List Third Party Advisory
openSUSE-SU-2020:1326	Mailing List Third Party Advisory
https://security.netapp.com/advisory/ntap-20200918-0002/	Third Party Advisory

Подверженные конфигурации:
1. Конфигурация 1
  cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
  Start including
  10.0
  End excliding
  10.14
  cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
  Start including
  11.0
  End excliding
  11.9
  cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
  Start including
  12.0
  End excliding
  12.4
  cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
  Start including
  9.5
  End excliding
  9.5.23
  cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
  Start including
  9.6
  End excliding
  9.6.19
  
  Конфигурация 2
  cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  
  Конфигурация 3
  cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
  cpe:2.3:o:opensuse:leap:15.2:*:*:*:*:*:*:*
  
  Конфигурация 4
  cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
  cpe:2.3:o:canonical:ubuntu_linux:20.04:*:*:*:lts:*:*:*
  cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:*

Версия: v24.4.2

Наверх

Уязвимость CVE-2020-14350: Информация

Описание

Исправленные пакеты

Ссылки на рекомендации, решения и инструменты

Конфигурация 1

Конфигурация 2

Конфигурация 3

Конфигурация 4