CERT-FI haavoittuvuustiedote 127/2009

PostgreSQL:n päivitykset korjaavat haavoittuvuuksia

Kohde:	- palvelimet ja palvelinsovellukset	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- käyttövaltuuksien laajentaminen - luottamuksellisen tiedon hankkiminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys	Lisätietoja

PostgreSQL:stä on löytynyt kaksi haavoittuvuutta.

Ensimmäinen haavoittuvuus (CVE-2009-4034) koskee Postgresql:n tapaa käsitellä varmenteita joiden Common Name (CN)-kentässä on \0-merkki. Haavoittuvuuden avulla hyökkääjä voi vaarantaa luottamuksellisen tiedon esiintymällä luotettuna palvelimena. Haavoittuvuus liittyy siltä osin myös toiseen haavoittuvuuteen varmenteiden käsittelyssä (CVE-2009-2408).

Toinen haavoittuvuus (CVE-2009-4136) koskee funktioiden käsittelyä joiden avulla hyökkääjä voi mahdollisesti nostaa käyttöoikeustasoaan. Haavoittuvuus liittyy haavoittuvuuksiin CVE-2009-3230 ja CVE-2007-6600.

HAAVOITTUVAT OHJELMISTOT:

• PostgreSQL 7.4.x ennen versiota 7.4.27
• PostgreSQL 8.0.x ennen versiota 8.0.23
• PostgreSQL 8.1.x ennen versiota 8.1.19
• PostgreSQL 8.2.x ennen versiota 8.2.15
• PostgreSQL 8.3.x ennen versiota 8.3.9
• PostgreSQL 8.4.x ennen versiota 8.4.2
  

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä tietokantaohjelmisto korjattuun versioon.

LISÄTIETOA:

• http://www.postgresql.org/support/security.html
• http://www.postgresql.org/docs/current/static/release-8-4-2.html
• http://www.postgresql.org/docs/current/static/release-8-3-9.html
• http://www.postgresql.org/docs/current/static/release-8-2-15.html
• http://www.postgresql.org/docs/current/static/release-8-1-19.html
• http://www.postgresql.org/docs/current/static/release-8-0-23.html
• http://www.postgresql.org/docs/current/static/release-7-4-27.html
• CVE-2009-2408, CVE-2009-3230, CVE-2009-4034
• CVE-2009-4136, CVE-2007-6600
• http://www.cert.fi/haavoittuvuudet/2009/haavoittuvuus-2009-071.html
  

PÄIVITYSHISTORIA:

16.12.2009, kello 11.15: Julkaistu

Sivua päivitetty 16.12.2009

Tulostusversio