Confira !!
O pacote postgresql anterior à versão 13.2-1 é vulnerável à divulgação de informações.
Aviso de segurança do Arch Linux ASA-202102-31
================================================
Gravidade: média
Data: 2021-02-20
CVE-ID: CVE-2021-3393 CVE-2021-20229
Pacote: postgresql
Tipo: divulgação de informações
Remoto: Sim
Link: https://security.archlinux.org/AVG-1567
Resumo
=======
O pacote postgresql antes da versão 13.2-1 é vulnerável a
divulgação de informação.
Resolução
==========
Atualize para 13.2-1.
# pacman -Syu "postgresql> = 13.2-1"
Os problemas foram corrigidos na versão 13.2.
Workaround
==========
Nenhum.
Descrição
===========
- CVE-2021-3393 (divulgação de informações)
Um problema de segurança foi encontrado no PostgreSQL 11 a 13 antes da versão 13.2.
Um usuário com privilégio UPDATE em uma tabela particionada, mas sem
o privilégio SELECT em alguma coluna pode ser capaz de adquirir negado-
valores da coluna de uma mensagem de erro. Isso é semelhante a CVE-2014-8161,
mas as condições para explorar são mais raras.
- CVE-2021-20229 (divulgação de informações)
Um problema de segurança foi encontrado no PostgreSQL 13 antes da versão 13.2. UMA
usuário com privilégio SELECT em uma coluna individual pode criar um
consulta especial que retorna todas as colunas da tabela. Além disso, um
visão armazenada que usa privilégios de nível de coluna terá
bitmaps de uso de coluna. Em instalações que dependem do nível da coluna
permissões de segurança, é recomendado executar CREATE OR
REPLACE em todas as visualizações definidas pelo usuário para forçá-las a serem analisadas novamente.
Impacto
======
Um usuário remoto autenticado é capaz de divulgar informações por
executando consultas SQL elaboradas.
Referências
==========
https://www.postgresql.org/about/news/postgresql-132-126-1111-1016-9621-and-9525-released-2165/
https://github.com/postgres/postgres/commit/8e56684d54d44ba4ed737d5847d31fba6fb13763
https://github.com/postgres/postgres/commit/d525fbcfd167b28818301d0a2d3548ae6a744588
https://security.archlinux.org/CVE-2021-3393
https://security.archlinux.org/CVE-2021-20229
Até a próxima !!
Nenhum comentário:
Postar um comentário