ALT-PU-2023-3932-1 — postgresql13

Серьёзность:

Закрытые проблемы (6)

BDU:2023-02003

LOW3.7

Уязвимость системы управления базами данных PostgreSQL, связанная с раскрытием информации, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Опубликовано: 2023-04-12Изменено: 2025-03-05

CVSS 3.xНИЗКАЯ 3.7

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0НИЗКАЯ 2.6

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:N/A:N

Ссылки

CVE-2022-41862

BDU:2023-03024

MEDIUM4.2

Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL, позволяющая нарушителю обойти ограничения безопасности

Опубликовано: 2023-06-05Изменено: 2025-08-19

CVSS 3.xСРЕДНЯЯ 4.2

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N

CVSS 2.0НИЗКАЯ 3.6

CVSS:2.0/AV:N/AC:H/Au:S/C:P/I:P/A:N

Ссылки

CVE-2023-2455

BDU:2023-03247

HIGH7.2

Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

Опубликовано: 2023-06-20Изменено: 2025-03-19

CVSS 3.xВЫСОКАЯ 7.2

CVSS:3.x/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 8.3

CVSS:2.0/AV:N/AC:L/Au:M/C:C/I:C/A:C

Ссылки

CVE-2023-2454

CVE-2022-41862

LOW3.7

In PostgreSQL, a modified, unauthenticated server can send an unterminated string during the establishment of Kerberos transport encryption. In certain conditions a server can cause a libpq client to over-read and report an error message containing uninitialized bytes.

Опубликовано: 2023-03-03Изменено: 2025-03-07

CVSS 3.xНИЗКАЯ 3.7

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N

Ссылки

CVE-2023-2454

HIGH7.2

schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.

Опубликовано: 2023-06-09Изменено: 2025-01-06

CVSS 3.xВЫСОКАЯ 7.2

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2023-2455

MEDIUM5.4

Row security policies disregard user ID changes after inlining; PostgreSQL could permit incorrect policies to be applied in certain cases where role-specific policies are used and a given query is planned under one role and then executed under other roles. This scenario can happen under security definer functions or when a common user and query is planned initially and then re-used across multiple SET ROLEs. Applying an incorrect policy may permit a user to complete otherwise-forbidden reads and modifications. This affects only databases that have used CREATE POLICY to define a row security policy.

Опубликовано: 2023-06-09Изменено: 2025-01-06

CVSS 3.xСРЕДНЯЯ 5.4

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

Ссылки

Закрытые ошибки (2)

Ошибка #43207

Невозможно инициализировать кластер с локалью отличной от текущей системной

Ошибка #44917

Обновление пакета postgresql13 в ветке sisyphus_riscv64

Закрытые проблемы (6)

Уязвимость компонента Schema Handler системы управления базами данных PostgreSQL, позволяющая нарушителю обойти ограничения безопасности

In PostgreSQL, a modified, unauthenticated server can send an unterminated string during the establishment of Kerberos transport encryption. In certain conditions a server can cause a libpq client to over-read and report an error message containing uninitialized bytes.

schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.

Закрытые ошибки (2)

Невозможно инициализировать кластер с локалью отличной от текущей системной

Неработающий пример в комментариях файла postgresql.service