CVE-2022-41862

Опубликовано: 03 мар. 2023

Источник: nvd

CVSS3: 3.7

EPSS Низкий

Уязвимость вывода недопустимого сообщения об ошибке в PostgreSQL при установлении Kerberos-транспортного шифрования

Описание

В PostgreSQL модифицированный неаутентифицированный сервер может отправить незавершённую строку во время установления Kerberos-транспортного шифрования. В определённых условиях это позволяет серверу вызвать избыточное чтение (over-read) клиентом libpq, что приводит к отображению сообщения об ошибке, содержащего неинициализированные байты.

Тип уязвимости

Ошибка вывода сообщения об ошибке
Возможность излишнего чтения данных (over-read)

Ссылки

https://bugzilla.redhat.com/show_bug.cgi?id=2165722
Issue Tracking
Third Party Advisory
https://security.netapp.com/advisory/ntap-20230427-0002/
https://www.postgresql.org/support/security/CVE-2022-41862/
Vendor Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2165722
Issue Tracking
Third Party Advisory
https://security.netapp.com/advisory/ntap-20230427-0002/
https://www.postgresql.org/support/security/CVE-2022-41862/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*

Версия от 12.0 (включая) до 12.14 (исключая)

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*

Версия от 13.0 (включая) до 13.10 (исключая)

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*

Версия от 14.0 (включая) до 14.7 (исключая)

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*

Версия от 15.0 (включая) до 15.2 (исключая)

Конфигурация 2

cpe:2.3:o:fedoraproject:fedora:8:*:*:*:*:*:*:*

Конфигурация 3

Одно из

cpe:2.3:a:redhat:integration_camel_k:-:*:*:*:*:*:*:*

cpe:2.3:a:redhat:integration_camel_quarkus:-:*:*:*:*:*:*:*

cpe:2.3:a:redhat:integration_service_registry:-:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 40%

0.00181

Низкий

3.7 Low

CVSS3

Дефекты

CWE-200

NVD-CWE-noinfo

Связанные уязвимости

CVE-2022-41862

CVSS3: 3.7

ubuntu

больше 2 лет назад

In PostgreSQL, a modified, unauthenticated server can send an unterminated string during the establishment of Kerberos transport encryption. In certain conditions a server can cause a libpq client to over-read and report an error message containing uninitialized bytes.

CVE-2022-41862

CVSS3: 3.7

redhat

больше 2 лет назад

CVE-2022-41862

CVSS3: 3.7

msrc

6 месяцев назад

Описание отсутствует

CVE-2022-41862

CVSS3: 3.7

debian

больше 2 лет назад

In PostgreSQL, a modified, unauthenticated server can send an untermin ...

SUSE-SU-2023:0705-1

suse-cvrf

больше 2 лет назад

Security update for postgresql14

EPSS

Процентиль: 40%

0.00181

Низкий

3.7 Low

CVSS3

Дефекты

CWE-200

NVD-CWE-noinfo