PostgreSQL bis 10.1 Table Partition Memory Information Disclosure
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine problematische Schwachstelle wurde in PostgreSQL bis 10.1 entdeckt. Es geht um eine nicht näher bekannte Funktion der Komponente Table Partition. Die Veränderung resultiert in Information Disclosure (Memory). Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2018-1052 vorgenommen. Der Angriff kann über das Netzwerk angegangen werden. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in PostgreSQL bis 10.1 (Database Software) entdeckt. Sie wurde als problematisch eingestuft. Dabei betrifft es ein unbekannter Codeteil der Komponente Table Partition. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Memory) ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-200 vorgenommen. Auswirken tut sich dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Memory disclosure vulnerability in table partitioning was found in postgresql 10.x before 10.2, allowing an authenticated attacker to read arbitrary bytes of server memory via purpose-crafted insert to a partitioned table.Die Entdeckung des Problems geschah am 08.02.2018. Die Schwachstelle wurde am 09.02.2018 (Website) publiziert. Das Advisory findet sich auf postgresql.org. Die Identifikation der Schwachstelle wird seit dem 04.12.2017 mit CVE-2018-1052 vorgenommen. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1592 bezeichnet.
Für den Vulnerability Scanner Nessus wurde am 09.02.2018 ein Plugin mit der ID 106701 (FreeBSD : PostgreSQL vulnerabilities (c602c791-0cf4-11e8-a2ec-6cc21735f730)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family FreeBSD Local Security Checks zugeordnet und im Kontext l ausgeführt.
Ein Aktualisieren auf die Version 10.2 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Die Entwickler haben nachweislich vorab gehandelt.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (106701) und SecurityFocus (BID 102987†) dokumentiert. Die Schwachstellen VDB-113104 sind ähnlich. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Name
Version
Lizenz
Webseite
- Produkt: https://www.postgresql.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.4VulDB Meta Temp Score: 5.3
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.5
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: MemoryKlasse: Information Disclosure / Memory
CWE: CWE-200 / CWE-284 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 106701
Nessus Name: FreeBSD : PostgreSQL vulnerabilities (c602c791-0cf4-11e8-a2ec-6cc21735f730)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 800961
OpenVAS Name: PostgreSQL Information Disclosure Vulnerability-01 Feb18 (Windows)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: PostgreSQL 10.2
Timeline
04.12.2017 🔍08.02.2018 🔍
08.02.2018 🔍
08.02.2018 🔍
09.02.2018 🔍
09.02.2018 🔍
09.02.2018 🔍
10.02.2018 🔍
03.01.2020 🔍
Quellen
Produkt: postgresql.orgAdvisory: postgresql.org
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2018-1052 (🔍)
GCVE (CVE): GCVE-0-2018-1052
GCVE (VulDB): GCVE-100-113103
SecurityFocus: 102987 - PostgreSQL CVE-2018-1052 Information Disclosure Vulnerability
Siehe auch: 🔍
Eintrag
Erstellt: 10.02.2018 09:01Aktualisierung: 03.01.2020 16:46
Anpassungen: 10.02.2018 09:01 (73), 03.01.2020 16:46 (5)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.