Sven Klemm

**Nome do Software Vulnerável e Versões Afetadas** PostgreSQL versões anteriores a 18.4 PostgreSQL versões anteriores a 17.10 PostgreSQL versões anteriores a 16.14 PostgreSQL versões anteriores a 15.18 PostgreSQL versões anteriores a 14.23 **Descrição** O estouro de inteiro (integer wraparound) em múltiplos recursos do servidor permite que um usuário de banco de dados sem privilégios faça com que o servidor subestime uma alocação e realize uma gravação fora dos limites (out-of-bounds). Isso pode permitir a execução de código arbitrário como o usuário do sistema operacional que executa o banco de dados. Em aplicações que passam entradas de usuário em escala de gigabytes para as funções relevantes do banco de dados, o provedor da entrada pode causar uma falha de segmentação (segmentation fault), que é um erro que ocorre quando um programa tenta acessar um local de memória ao qual não tem permissão. **Recomendações** Atualize para a versão 18.4 ou posterior. Atualize para a versão 17.10 ou posterior. Atualize para a versão 16.14 ou posterior. Atualize para a versão 15.18 ou posterior. Atualize para a versão 14.23 ou posterior.

**Nome do software vulnerável e versões afetadas** PostgreSQL (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade no PostgreSQL que permite que um invasor execute código arbitrário na conta da vítima, que pode ser um superusuário. Este ataque requer permissão para criar objetos não temporários em pelo menos um esquema, a capacidade de induzir ou aguardar que um administrador crie ou atualize uma extensão afetada nesse esquema, e a capacidade de induzir ou aguardar que uma vítima utilize o objeto visado em CREATE OR REPLACE ou CREATE IF NOT EXISTS. A falha está relacionada a erros ao usar comandos OR com extensões, o que pode permitir que um invasor remoto eleve seus privilégios e substitua objetos arbitrários no banco de dados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do PostgreSQL anteriores à 13.2 Versões do PostgreSQL anteriores à 12.6 Versões do PostgreSQL anteriores à 11.11 Versões do PostgreSQL anteriores à 10.16 Versões do PostgreSQL anteriores à 9.6.21 Versões do PostgreSQL anteriores à 9.5.25 **Descrição** Foi encontrada uma falha no PostgreSQL que permite que um usuário com privilégio SELECT em uma coluna crie uma consulta especial que retorne todas as colunas da tabela. A maior ameaça dessa vulnerabilidade é à confidencialidade. Esse problema está relacionado a deficiências no mecanismo de autorização, que podem ser exploradas por um invasor remoto para obter acesso não autorizado a informações protegidas. **Recomendações** Para versões anteriores à 13.2, atualize para a versão 13.2 ou posterior. Para versões anteriores à 12.6, atualize para a versão 12.6 ou posterior. Para versões anteriores à 11.11, atualize para a versão 11.11 ou posterior. Para versões anteriores à 10.16, atualize para a versão 10.16 ou posterior. Para versões anteriores à 9.6.21, atualize para a versão 9.6.21 ou posterior. Para versões anteriores à 9.5.25, atualize para a versão 9.5.25 ou posterior.