PostgreSQL bis 9.1.22/9.2.17/9.3.13/9.4.8/9.5.3 CASE/WHEN SQL Query Denial of Service
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine kritische Schwachstelle wurde in PostgreSQL bis 9.1.22/9.2.17/9.3.13/9.4.8/9.5.3 gefunden. Dabei geht es um eine nicht genauer bekannte Funktion der Komponente CASE/WHEN Handler. Die Bearbeitung im Rahmen von SQL Query verursacht Denial of Service. Die Identifikation der Schwachstelle wird mit CVE-2016-5423 vorgenommen. Der Angriff lässt sich über das Netzwerk starten. Es existiert kein Exploit. Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
Es wurde eine Schwachstelle in PostgreSQL bis 9.1.22/9.2.17/9.3.13/9.4.8/9.5.3 (Database Software) gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um ein unbekannter Teil der Komponente CASE/WHEN Handler. Durch Manipulation durch SQL Query kann eine Denial of Service-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-476 vorgenommen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 11.08.2016 als 2016-08-11 Security Update Release in Form eines bestätigten Newss (Website) publik gemacht. Das Advisory kann von postgresql.org heruntergeladen werden. Die Verwundbarkeit wird seit dem 10.06.2016 unter CVE-2016-5423 geführt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das Advisory weist darauf hin:
Two security holes have been closed by this releaseFür den Vulnerability Scanner Nessus wurde am 12.10.2016 ein Plugin mit der ID 93997 (openSUSE Security Update : postgresql94 (openSUSE-2016-1161)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family SuSE Local Security Checks zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 370195 (Red Hat Update for rh-postgresql94-postgresql (RHSA-2016:1781)) zur Prüfung der Schwachstelle an.
Ein Upgrade auf die Version 9.1.23, 9.2.18, 9.3.14, 9.4.9 oder 9.5.4 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben sofort reagiert.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (93997), SecurityFocus (BID 92433†) und SecurityTracker (ID 1036617†) dokumentiert. Die Einträge VDB-90733 sind sehr ähnlich. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Version
- 9.1.0
- 9.1.1
- 9.1.2
- 9.1.3
- 9.1.4
- 9.1.5
- 9.1.6
- 9.1.7
- 9.1.8
- 9.1.9
- 9.1.10
- 9.1.11
- 9.1.12
- 9.1.13
- 9.1.14
- 9.1.15
- 9.1.16
- 9.1.17
- 9.1.18
- 9.1.19
- 9.1.20
- 9.1.21
- 9.1.22
- 9.2.0
- 9.2.1
- 9.2.2
- 9.2.3
- 9.2.4
- 9.2.5
- 9.2.6
- 9.2.7
- 9.2.8
- 9.2.9
- 9.2.10
- 9.2.11
- 9.2.12
- 9.2.13
- 9.2.14
- 9.2.15
- 9.2.16
- 9.2.17
- 9.3.0
- 9.3.1
- 9.3.2
- 9.3.3
- 9.3.4
- 9.3.5
- 9.3.6
- 9.3.7
- 9.3.8
- 9.3.9
- 9.3.10
- 9.3.11
- 9.3.12
- 9.3.13
- 9.4.0
- 9.4.1
- 9.4.2
- 9.4.3
- 9.4.4
- 9.4.5
- 9.4.6
- 9.4.7
- 9.4.8
- 9.5.0
- 9.5.1
- 9.5.2
- 9.5.3
Lizenz
Webseite
- Produkt: https://www.postgresql.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.3VulDB Meta Temp Score: 8.1
VulDB Base Score: 8.3
VulDB Temp Score: 7.9
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 8.3
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Denial of ServiceCWE: CWE-476 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 93997
Nessus Name: openSUSE Security Update : postgresql94 (openSUSE-2016-1161)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 865728
OpenVAS Name: Fedora Update for postgresql FEDORA-2016-30b01bdedd
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Upgrade: PostgreSQL 9.1.23/9.2.18/9.3.14/9.4.9/9.5.4
Timeline
10.06.2016 🔍11.08.2016 🔍
11.08.2016 🔍
11.08.2016 🔍
12.08.2016 🔍
15.08.2016 🔍
12.10.2016 🔍
09.12.2016 🔍
13.09.2022 🔍
Quellen
Produkt: postgresql.orgAdvisory: 2016-08-11 Security Update Release
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2016-5423 (🔍)
GCVE (CVE): GCVE-0-2016-5423
GCVE (VulDB): GCVE-100-90732
OVAL: 🔍
SecurityFocus: 92433 - PostgreSQL CVE-2016-5423 NULL Pointer Dereference Remote Code Execution Vulnerability
SecurityTracker: 1036617
Siehe auch: 🔍
Eintrag
Erstellt: 15.08.2016 10:23Aktualisierung: 13.09.2022 18:43
Anpassungen: 15.08.2016 10:23 (74), 26.03.2019 08:37 (12), 13.09.2022 18:43 (4)
Komplett: 🔍
Cache ID: 216:DEB:103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.