Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2017-7485

Опубликовано: 12 мая 2017
Источник: nvd
CVSS3: 5.9
CVSS2: 4.3
EPSS Низкий

Уязвимость отсутствия принудительного установления SSL/TLS-соединения в PostgreSQL через переменную окружения PGREQUIRESSL

Описание

В PostgreSQL обнаружена уязвимость, связанная с переменной окружения PGREQUIRESSL, которая перестала обеспечивать обязательное использование SSL/TLS-соединения с сервером PostgreSQL. Злоумышленник, выполняющий атаку типа "человек посередине" (man-in-the-middle), способен использовать эту уязвимость для снятия SSL/TLS-защиты с соединения между клиентом и сервером.

Затронутые версии ПО

  • PostgreSQL 9.3.x до версии 9.3.17
  • PostgreSQL 9.4.x до версии 9.4.12
  • PostgreSQL 9.5.x до версии 9.5.7
  • PostgreSQL 9.6.x до версии 9.6.3

Тип уязвимости

Уязвимость SSL-защиты из-за ошибки в обработке переменной

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:postgresql:postgresql:9.3:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.1:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.2:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.3:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.4:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.5:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.6:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.7:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.8:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.9:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.10:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.11:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.12:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.13:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.14:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.15:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.3.16:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.1:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.2:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.3:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.4:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.5:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.6:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.7:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.8:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.9:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.10:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.4.11:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5.1:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5.2:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5.3:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5.4:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5.5:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.5.6:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.6:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.6.1:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:9.6.2:*:*:*:*:*:*:*

EPSS

Процентиль: 79%
0.01319
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-390
CWE-311

Связанные уязвимости

ubuntu логотип

CVE-2017-7485

CVSS3: 5.9
ubuntu
около 8 лет назад

In PostgreSQL 9.3.x before 9.3.17, 9.4.x before 9.4.12, 9.5.x before 9.5.7, and 9.6.x before 9.6.3, it was found that the PGREQUIRESSL environment variable was no longer enforcing a SSL/TLS connection to a PostgreSQL server. An active Man-in-the-Middle attacker could use this flaw to strip the SSL/TLS protection from a connection between a client and a server.

redhat логотип

CVE-2017-7485

CVSS3: 7.4
redhat
около 8 лет назад

In PostgreSQL 9.3.x before 9.3.17, 9.4.x before 9.4.12, 9.5.x before 9.5.7, and 9.6.x before 9.6.3, it was found that the PGREQUIRESSL environment variable was no longer enforcing a SSL/TLS connection to a PostgreSQL server. An active Man-in-the-Middle attacker could use this flaw to strip the SSL/TLS protection from a connection between a client and a server.

debian логотип

CVE-2017-7485

CVSS3: 5.9
debian
около 8 лет назад

In PostgreSQL 9.3.x before 9.3.17, 9.4.x before 9.4.12, 9.5.x before 9 ...

github логотип

GHSA-742m-4pjq-x8qf

CVSS3: 5.9
github
около 3 лет назад

In PostgreSQL 9.3.x before 9.3.17, 9.4.x before 9.4.12, 9.5.x before 9.5.7, and 9.6.x before 9.6.3, it was found that the PGREQUIRESSL environment variable was no longer enforcing a SSL/TLS connection to a PostgreSQL server. An active Man-in-the-Middle attacker could use this flaw to strip the SSL/TLS protection from a connection between a client and a server.

fstec логотип

BDU:2019-04174

CVSS3: 5.9
fstec
около 8 лет назад

Уязвимость библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю реализовать атаку типа «человек посередине»

EPSS

Процентиль: 79%
0.01319
Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-390
CWE-311