CVE-2014-0060

Опубликовано: 17 фев. 2014

Источник: redhat

CVSS2: 5.5

EPSS Низкий

Описание

PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9.2.x before 9.2.7, and 9.3.x before 9.3.3 does not properly enforce the ADMIN OPTION restriction, which allows remote authenticated members of a role to add or remove arbitrary users to that role by calling the SET ROLE command before the associated GRANT command.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
CloudForms Management Engine 5	postgresql	Will not fix
Red Hat Enterprise Linux 7	postgresql	Not affected
CloudForms Management Engine 5.x	cfme	Fixed	RHSA-2014:0469	12.05.2014
CloudForms Management Engine 5.x	postgresql92-postgresql	Fixed	RHSA-2014:0469	12.05.2014
CloudForms Management Engine 5.x	prince	Fixed	RHSA-2014:0469	12.05.2014
CloudForms Management Engine 5.x	ruby193-rubygem-actionpack	Fixed	RHSA-2014:0469	12.05.2014
Red Hat Enterprise Linux 5	postgresql84	Fixed	RHSA-2014:0211	25.02.2014
Red Hat Enterprise Linux 5	postgresql	Fixed	RHSA-2014:0249	04.03.2014
Red Hat Enterprise Linux 6	postgresql	Fixed	RHSA-2014:0211	25.02.2014
Red Hat Software Collections for RHEL-6	postgresql92-postgresql	Fixed	RHSA-2014:0221	27.02.2014

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1065219postgresql: SET ROLE without ADMIN OPTION allows adding and removing group members

EPSS

Процентиль: 78%

0.01237

Низкий

5.5 Medium

CVSS2

Связанные уязвимости

CVE-2014-0060

ubuntu

около 11 лет назад

CVE-2014-0060

nvd

около 11 лет назад

CVE-2014-0060

debian

около 11 лет назад

PostgreSQL before 8.4.20, 9.0.x before 9.0.16, 9.1.x before 9.1.12, 9. ...

GHSA-w7xc-5vvv-rvqf

github

около 3 лет назад

ELSA-2014-0249

oracle-oval

больше 11 лет назад

ELSA-2014-0249: postgresql security update (IMPORTANT)

EPSS

Процентиль: 78%

0.01237

Низкий

5.5 Medium

CVSS2