FERRAMENTAS LINUX: Atualização de segurança do ArchLinux para o postgresql: information disclosure, aviso ArchLinux: 202102-31

quinta-feira, 25 de fevereiro de 2021

Atualização de segurança do ArchLinux para o postgresql: information disclosure, aviso ArchLinux: 202102-31

 


Confira !!


O pacote postgresql anterior à versão 13.2-1 é vulnerável à divulgação de informações.

Aviso de segurança do Arch Linux ASA-202102-31

================================================


Gravidade: média

Data: 2021-02-20

CVE-ID: CVE-2021-3393 CVE-2021-20229

Pacote: postgresql

Tipo: divulgação de informações

Remoto: Sim

Link: https://security.archlinux.org/AVG-1567


Resumo

=======


O pacote postgresql antes da versão 13.2-1 é vulnerável a

divulgação de informação.


Resolução

==========


Atualize para 13.2-1.


# pacman -Syu "postgresql> = 13.2-1"


Os problemas foram corrigidos na versão 13.2.


Workaround

==========


Nenhum.


Descrição

===========


- CVE-2021-3393 (divulgação de informações)


Um problema de segurança foi encontrado no PostgreSQL 11 a 13 antes da versão 13.2.

Um usuário com privilégio UPDATE em uma tabela particionada, mas sem

o privilégio SELECT em alguma coluna pode ser capaz de adquirir negado-

valores da coluna de uma mensagem de erro. Isso é semelhante a CVE-2014-8161,

mas as condições para explorar são mais raras.


- CVE-2021-20229 (divulgação de informações)


Um problema de segurança foi encontrado no PostgreSQL 13 antes da versão 13.2. UMA

usuário com privilégio SELECT em uma coluna individual pode criar um

consulta especial que retorna todas as colunas da tabela. Além disso, um

visão armazenada que usa privilégios de nível de coluna terá

bitmaps de uso de coluna. Em instalações que dependem do nível da coluna

permissões de segurança, é recomendado executar CREATE OR

REPLACE em todas as visualizações definidas pelo usuário para forçá-las a serem analisadas novamente.


Impacto

======


Um usuário remoto autenticado é capaz de divulgar informações por

executando consultas SQL elaboradas.


Referências

==========


https://www.postgresql.org/about/news/postgresql-132-126-1111-1016-9621-and-9525-released-2165/

https://github.com/postgres/postgres/commit/8e56684d54d44ba4ed737d5847d31fba6fb13763

https://github.com/postgres/postgres/commit/d525fbcfd167b28818301d0a2d3548ae6a744588

https://security.archlinux.org/CVE-2021-3393

https://security.archlinux.org/CVE-2021-20229





Fonte

Até a próxima !!




Nenhum comentário:

Postar um comentário