🏠 Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeiträge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden Überblick über die wichtigsten Aspekte der IT-Sicherheit in einer sich ständig verändernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch übersetzen, erst Englisch auswählen dann wieder Deutsch!

Google Android Playstore Download Button für Team IT Security

800+ IT News als RSS Feed abonnieren

Thema auswählen:

📚 PostgreSQL bis 9.1.20/9.2.15/9.3.11/9.4.6/9.5.1 Row Level Security Policy Handler erweiterte Rechte

🕛 Zeit seit Veröffentlichung: 2935 Tage, 19 Stunden 34 Minuten
📆 Veröffentlicht am: 31.03.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch

Allgemein

scipID: 81609
Betroffen: PostgreSQL bis 9.1.20/9.2.15/9.3.11/9.4.6/9.5.1
Veröffentlicht: 31.03.2016
Risiko: problematisch

Erstellt: 06.04.2016
Eintrag: 71.8% komplett

Beschreibung

Es wurde eine Schwachstelle in PostgreSQL bis 9.1.20/9.2.15/9.3.11/9.4.6/9.5.1 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Komponente Row Level Security Policy Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 31.03.2016 als 2016-03-31 Security Update Release in Form eines bestätigten Newss (Website) publiziert. Das Advisory kann von postgresql.org heruntergeladen werden. Die Identifikation der Schwachstelle wird mit CVE-2016-2193 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.

Ein Aktualisieren auf die Version 9.1.21, 9.2.16, 9.3.12, 9.4.7 oder 9.5.2 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben daher sofort gehandelt. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1035468) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 81610.

CVSS

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P) [?]
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: PostgreSQL 9.1.21/9.2.16/9.3.12/9.4.7/9.5.2

Timeline

Quellen

Advisory: 2016-03-31 Security Update Release
Status: Bestätigt

CVE: CVE-2016-2193 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1035468 – PostgreSQL Bugs Let Remote Authenticated Users Access and Modify Data and Obtain Potentially Sensitive Information

Siehe auch: 81610

...