图片报:图片联盟/德新社 | 贾娜·佩普
联邦信息安全办公室(BSI) 于 2023 年 8 月 11 日报告了 PostgreSQL 的安全公告。该通知列出了多个可被攻击者利用的漏洞。UNIX、Linux 和 Windows 操作系统以及开源 PostgreSQL 产品均受到该漏洞的影响。
有关此漏洞的更新、解决方法和安全补丁的最新制造商建议可在此处找到:PostgreSQL 安全通知(截至 2023 年 8 月 10 日)。
报告了 PostgreSQL 的多个漏洞 - 风险:中
风险等级:4(中)
CVSS 基本分数:7.5
CVSS 时间分数:6.5
远程攻击:是
通用漏洞评分系统(CVSS)用于评估计算机系统的漏洞。CVSS 标准可以根据各种指标比较潜在或实际的安全漏洞,以便基于此创建优先级列表以启动对策。属性“无”、“低”、“中”、“高”和“严重”用于表示漏洞的严重性。基本分数评估攻击的先决条件(包括身份验证、复杂性、权限、用户交互)及其后果。通过时间分数,随时间变化的框架条件包含在评估中。
PostgreSQL Bug:攻击描述
PostgreSQL 是一个适用于不同操作系统的免费数据库。
经过身份验证的远程攻击者可以利用 PostgreSQL 中的多个漏洞来执行任意代码或绕过安全措施。
这些漏洞使用 CVE 指定系统(常见漏洞和暴露)按单独的序列号CVE-2023-39418 和 CVE-2023-39417进行分类。
受 PostgreSQL 漏洞影响的系统一览
操作系统
UNIX、Linux、Windows
产品
开源 PostgreSQL < 15.4 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 14.9 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 14.9 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 13.12 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 13.12 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 12.16 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 12.16 (cpe:/ a:postgresql:postgresql)
开源 PostgreSQL < 11.21 (cpe:/a:postgresql:postgresql)
开源 PostgreSQL < 11.21 (cpe:/a:postgresql:postgresql)
处理 IT 安全漏洞的一般措施
- 受影响系统的用户应及时更新。当安全漏洞被发现时,制造商需要通过开发补丁或解决方法尽快修复它们。如果有可用的安全补丁,请立即安装。
- 有关信息,请参阅下一节中列出的来源。这些通常包含有关相关软件最新版本以及安全补丁或解决方法提示的可用性的更多信息。
- 如果您还有任何其他问题或不确定,请联系您的负责管理员。IT 安全经理应定期检查受IT 安全警告影响的制造商何时提供新的安全更新。
更新、补丁和解决方法的来源
此时,还有有关错误报告、安全修复和解决方法的信息的进一步链接。
2023-08-10 (2023-08-11) PostgreSQL 安全通知
有关更多信息,请参阅:https ://www.postgresql.org/about/news/postgresql-154-149-1312-1216-1121-and-postgresql - 16-beta-3-发布-2689/
此安全警报的版本历史记录
这是 PostgreSQL 当前 IT 安全声明的初始版本。如果宣布更新,本文将被更新。您可以使用以下版本历史了解所做的更改。
2023 年 8 月 11 日 - 初始版本
文章来源:https://www.news.de/technik/857079230/postgresql-gefaehrdet-it-sicherheitswarnung-vom-bsi-und-bug-report-bekannte-schwachstellen-und-sicherheitsluecken/1/
文章评论