Уязвимость упрощения подбора ключа методом перебора в PostgreSQL из-за различий в ошибках при некорректном ключе
Описание
В компоненте contrib/pgcrypto в PostgreSQL существует уязвимость, связанная с различиями в сообщениях об ошибках при использовании некорректного ключа. Это упрощает злоумышленнику возможность подбора ключа методом перебора.
Затронутые версии ПО
- PostgreSQL до версии 9.0.20
- PostgreSQL версии 9.1.x до 9.1.16
- PostgreSQL версии 9.2.x до 9.2.11
- PostgreSQL версии 9.3.x до 9.3.7
- PostgreSQL версии 9.4.x до 9.4.2
Тип уязвимости
- Подмена
- Метод перебора (brute force attack)
Ссылки
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Third Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Одно из
Одно из
Одно из
EPSS
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
Связанные уязвимости
contrib/pgcrypto in PostgreSQL before 9.0.20, 9.1.x before 9.1.16, 9.2.x before 9.2.11, 9.3.x before 9.3.7, and 9.4.x before 9.4.2 uses different error responses when an incorrect key is used, which makes it easier for attackers to obtain the key via a brute force attack.
contrib/pgcrypto in PostgreSQL before 9.0.20, 9.1.x before 9.1.16, 9.2.x before 9.2.11, 9.3.x before 9.3.7, and 9.4.x before 9.4.2 uses different error responses when an incorrect key is used, which makes it easier for attackers to obtain the key via a brute force attack.
contrib/pgcrypto in PostgreSQL before 9.0.20, 9.1.x before 9.1.16, 9.2 ...
contrib/pgcrypto in PostgreSQL before 9.0.20, 9.1.x before 9.1.16, 9.2.x before 9.2.11, 9.3.x before 9.3.7, and 9.4.x before 9.4.2 uses different error responses when an incorrect key is used, which makes it easier for attackers to obtain the key via a brute force attack.
EPSS
7.5 High
CVSS3
5 Medium
CVSS2