PostgreSQL bis 8.0.3 SQL-Kommandos Zeichen-Umwandlung erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in PostgreSQL ausgemacht. Es ist betroffen eine unbekannte Funktion der Komponente SQL Command Character Converter. Durch Beeinflussen mit unbekannten Daten kann eine Denial of Service-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2005-1409 gelistet. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
PostgreSQL ist eine hoch skalierbare, SQL-kompatible und unter der open-source Lizenz herausgegebene relationale Datenbank. In einem News-Posting auf der Projekt-Webseite wurden zwei Sicherheitslücken publiziert. Eine davon betrifft die Zeichenumwandlung von SQL-Kommandos bei Client-Server Verbindungen. Technische Details oder ein Exploit zur Schwachstelle sind nicht bekannt. Der Fehler wurde in den Minor Releases 8.0.3, 7.4.8, 7.3.10 und 7.2.8 behoben [http://www.postgresql.org/about/news.322]. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (20401), Tenable (18202), SecurityFocus (BID 13476†), OSVDB (16323†) und Secunia (SA15217†) dokumentiert. Die Einträge VDB-1438 sind sehr ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Für den Vulnerability Scanner Nessus wurde am 05.05.2005 ein Plugin mit der ID 18202 (PostgreSQL < 8.0.3 Multiple Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Databases zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 117896 (CentOS Security Update for PostgreSQL (CESA-2005:433)) zur Prüfung der Schwachstelle an.
Da nur wenige technische Details zur Schwachstelle bekannt sind, ist die Einschätzung sehr schwierig und zum jetzigen Zeitpunkt nicht möglich. Da dies bei open-source Lösungen wie PostgreSQL untypisch ist, muss davon ausgegangen werden, dass es sich um ein eher kritisches Problem handelt. Entsprechend gilt es Gegenmassnahmen anzustreben, bevor kritische Details zum Angriff bekannt werden.
Produkt
Typ
Name
Version
- 7.2.1
- 7.2.2
- 7.2.3
- 7.2.4
- 7.2.5
- 7.2.6
- 7.2.7
- 7.3
- 7.3.1
- 7.3.2
- 7.3.3
- 7.3.4
- 7.3.5
- 7.3.6
- 7.3.7
- 7.3.8
- 7.3.9
- 7.4
- 7.4.1
- 7.4.2
- 7.4.3
- 7.4.4
- 7.4.5
- 7.4.6
- 7.4.7
- 8.0
- 8.0.1
- 8.0.2
Lizenz
Webseite
- Produkt: https://www.postgresql.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 6.6
VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 18202
Nessus Name: PostgreSQL < 8.0.3 Multiple Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 54944
OpenVAS Name: Gentoo Security Advisory GLSA 200505-12 (postgresql)
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: postgresql.org
Timeline
02.05.2005 🔍03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
03.05.2005 🔍
04.05.2005 🔍
05.05.2005 🔍
09.05.2005 🔍
09.05.2005 🔍
24.05.2005 🔍
02.07.2019 🔍
Quellen
Produkt: postgresql.orgAdvisory: postgresql.org
Person: David, Tom Lane
Firma: PostgreSQL Team
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2005-1409 (🔍)
GCVE (CVE): GCVE-0-2005-1409
GCVE (VulDB): GCVE-100-1437
OVAL: 🔍
X-Force: 20401
SecurityFocus: 13476 - PostgreSQL Character Set Conversion Privilege Escalation Vulnerability
Secunia: 15217 - PostgreSQL Character Conversion and tsearch2 Module Vulnerabilities, Moderately Critical
OSVDB: 16323 - PostgreSQL Character Conversion Function EXECUTE Privilege Issue
SecurityTracker: 1013868
Vulnerability Center: 7899 - PostgreSQL 7.3 - 8.0.2 Character Conversion Vulnerability Enables Unauthorized Privileges, High
Vupen: ADV-2005-0453
Siehe auch: 🔍
Eintrag
Erstellt: 24.05.2005 11:27Aktualisierung: 02.07.2019 17:31
Anpassungen: 24.05.2005 11:27 (99), 02.07.2019 17:31 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.