公告ID(KYSA-202208-1521)
公告ID:KYSA-202208-1521
公告摘要:postgresql 安全漏洞
等级:Important
发布日期:2022-08-30
详细介绍
1.修复的CVE
·CVE-2020-14349
描述:PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL 中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。以下产品及版本受到影响:before 12.4之前版本, 11.9之前版本,10.14之前版本。
·CVE-2020-14350
描述:PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL 中存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。以下产品及版本受到影响:12.4之前的版本,11.9之前的版本, 10.14之前的版本, 9.6.19之前的版本, 9.5.23之前的版本。
·CVE-2020-25695
描述:PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。攻击者可利用该漏洞有权在至少一个模式中创建非临时对象,可以以超级用户的身份执行任意SQL函数。
·CVE-2020-25696
描述:PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL 12.5之前版本存在安全漏洞,该漏洞源于gset 允许覆盖经过特殊处理的变量,gset命令根据查询结果设置psql变量,该命令不区分控制psql行为的变量。攻击者可利用该漏洞执行任意代码作为运行psql的操作系统帐户
·CVE-2021-23214
描述:PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL 存在安全漏洞,该漏洞源于PostgreSQL处理加密连接的方式造成的。攻击者可利用该漏洞执行MitM攻击。
·CVE-2021-23222
描述:PostgreSQL是Postgresql组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL 存在安全漏洞,该漏洞源于PostgreSQL中的libpq进程处理加密连接的方式造成的。攻击者可利用该漏洞窃取可能在会话早期传输的客户端密码或其他机密数据。
2.受影响的软件包
·银河麒麟高级服务器操作系统 V10 SP1
aarch64架构:
postgresql、postgresql-contrib、postgresql-devel、postgresql-help、postgresql-libs、postgresql-plperl、postgresql-plpython3、postgresql-pltcl、postgresql-server、postgresql-static、postgresql-test、postgresql-test-rpm-macros
mips64el架构:
postgresql、postgresql-contrib、postgresql-devel、postgresql-help、postgresql-libs、postgresql-plperl、postgresql-plpython3、postgresql-pltcl、postgresql-server、postgresql-static、postgresql-test、postgresql-test-rpm-macros
x86_64架构:
postgresql、postgresql-contrib、postgresql-devel、postgresql-help、postgresql-libs、postgresql-plperl、postgresql-plpython3、postgresql-pltcl、postgresql-server、postgresql-static、postgresql-test、postgresql-test-rpm-macros
3.软件包修复版本
·银河麒麟高级服务器操作系统 V10 SP1
postgresql-10.5-23.p01.ky10 或更高版本。
postgresql-contrib-10.5-23.p01.ky10 或更高版本。
postgresql-devel-10.5-23.p01.ky10 或更高版本。
postgresql-help-10.5-23.p01.ky10 或更高版本。
postgresql-libs-10.5-23.p01.ky10 或更高版本。
postgresql-plperl-10.5-23.p01.ky10 或更高版本。
postgresql-plpython3-10.5-23.p01.ky10 或更高版本。
postgresql-pltcl-10.5-23.p01.ky10 或更高版本。
postgresql-server-10.5-23.p01.ky10 或更高版本。
postgresql-static-10.5-23.p01.ky10 或更高版本。
postgresql-test-10.5-23.p01.ky10 或更高版本。
postgresql-test-rpm-macros-10.5-23.p01.ky10 或更高版本。
4.修复方法
方法一:配置源进行升级安装
1.打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
银河麒麟高级服务器操作系统 V10 SP1
aarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/
mips64el:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/
x86_64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/
2.配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包列表进行升级安装,命令如下:
yum install Packagename
3.升级完成后是否需要重启服务或操作系统:
·CVE-2020-14349:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2020-14350:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2020-25695:需要重启 postgresql 以使漏洞修复生效。
·CVE-2020-25696:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2021-23214:无需重启操作系统与服务即可使漏洞修复生效。
·CVE-2021-23222:需要重启 postgresql 以使漏洞修复生效。
5.软件包下载地址
·银河麒麟高级服务器操作系统 V10 SP1
postgresql(aarch64)软件包下载地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-contrib-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-devel-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-help-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-libs-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-plperl-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-plpython3-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-pltcl-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-server-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-static-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-test-10.5-23.p01.ky10.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/aarch64/Packages/postgresql-test-rpm-macros-10.5-23.p01.ky10.aarch64.rpm
postgresql(mips64el)软件包下载地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-contrib-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-devel-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-help-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-libs-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-plperl-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-plpython3-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-pltcl-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-server-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-static-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-test-10.5-23.p01.ky10.mips64el.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/mips64el/Packages/postgresql-test-rpm-macros-10.5-23.p01.ky10.mips64el.rpm
postgresql(x86_64)软件包下载地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-contrib-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-devel-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-help-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-libs-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-plperl-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-plpython3-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-pltcl-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-server-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-static-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-test-10.5-23.p01.ky10.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/x86_64/Packages/postgresql-test-rpm-macros-10.5-23.p01.ky10.x86_64.rpm
注:其他相关依赖包请到相同目录下载
6.修复验证
使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。
sudo rpm -qa | grep Packagename