DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1999: postgresql-common: Zwei Schwachstellen ermöglichen die Manipulation von Dateien

Historie

Version 1 (2017-11-10 14:08)
Neues Advisory

Betroffene Software

postgresql-common

Betroffene Plattformen

Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 17.04
Canonical Ubuntu Linux 17.10
Debian Linux 8.9 Jessie
Debian Linux 9.2 Stretch

Lösung

Patch

Debian Security Advisory DSA-4029-1

Patch

Ubuntu Security Notice USN-3476-1

Beschreibung

Zwei Schwachstellen in dem Paket postgresql-common auf Debian-basierten Systemen ermöglichen einem lokalen, nicht authentisierten Angreifer die Manipulation von Dateien, wodurch weitere Angriffe möglich sind.

Debian stellt Sicherheitsupdates für die alte stabile Distribution (Jessie) und für die stabile Distribution (Stretch) in den Versionen '165+deb8u3' und '181+deb9u1' bereit. Die Schwachstelle CVE-2016-1255 ist für diese Distributionen nicht angegeben.

Canonical stellt für Ubuntu 17.10, 17.04, 16.04 LTS und 14.04 LTS Sicherheitsupdates in den Versionen '184ubuntu1.1', '179ubuntu0.1', '173ubuntu0.1' und '154ubuntu1.1' zur Verfügung. Die Schwachstelle CVE-2016-1255 betrifft nur Ubuntu 14.04 LTS und Ubuntu 16.04 LTS.

Schwachstellen

CVE-2017-8806: Schwachstelle in postgresql-common ermöglicht Manipulation von Dateien

Die Skripte 'pg_ctlcluster', 'pg_createcluster' und 'pg_upgradecluster' in postgresql-common behandeln symbolische Dateiverknüpfungen nicht korrekt, wodurch ein lokaler, nicht authentisierter Angreifer beliebigen Dateien des Systems manipulieren kann.

CVE-2016-1255: Schwachstelle in postgresql-common ermöglicht Manipulation von Dateien

Das Skript 'pg_ctlcluster' in postgresql-common behandelt symbolische Dateiverknüpfungen nicht korrekt, wodurch ein lokaler, nicht authentisierter Angreifer beliebigen Dateien des Systems manipulieren kann.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.