PT-2020-4892 · Postgresql+9 · Postgresql+9

Publicado

2020-11-11

·

Atualizado

2026-03-07

·

CVE-2020-25694

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
Versões do PostgreSQL anteriores à 13.1
Versões do PostgreSQL anteriores à 12.5
Versões do PostgreSQL anteriores à 11.10
Versões do PostgreSQL anteriores à 10.15
Versões do PostgreSQL anteriores à 9.6.20
Versões do PostgreSQL anteriores à 9.5.24
Descrição:
Foi encontrada uma falha no componente cliente do sistema de gerenciamento de banco de dados PostgreSQL. O problema está relacionado à reutilização de parâmetros básicos de conexão, enquanto parâmetros relevantes para a segurança são descartados por aplicativos clientes que criam conexões adicionais ao banco de dados. Isso poderia levar a um ataque man-in-the-middle ou permitir que um invasor observasse transmissões em texto simples. A maior ameaça decorrente desse problema é à confidencialidade e integridade dos dados, bem como à disponibilidade do sistema.
Recomendações:
Para versões do PostgreSQL anteriores à 13.1, atualize para a versão 13.1 ou posterior para resolver o problema.
Para versões do PostgreSQL anteriores à 12.5, atualize para a versão 12.5 ou posterior para resolver o problema.
Para versões do PostgreSQL anteriores à 11.10, atualize para a versão 11.10 ou posterior para resolver o problema.
Para versões do PostgreSQL anteriores à 10.15, atualize para a versão 10.15 ou posterior para resolver o problema.
Para versões do PostgreSQL anteriores à 9.6.20, atualize para a versão 9.6.20 ou posterior para resolver o problema.
Para versões do PostgreSQL anteriores à 9.5.24, atualize para a versão 9.5.24 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir a reutilização de parâmetros básicos de conexão para minimizar o risco de exploração.

Correção

Use of a Broken Cryptographic Algorithm

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-757CWE-327

Identificadores relacionados

ALSA-2020:5620
ALT-PU-2020-3311
ALT-PU-2020-3312
ALT-PU-2020-3313
ALT-PU-2020-3314
ALT-PU-2020-3315
ALT-PU-2020-3316
ALT-PU-2020-3320
ALT-PU-2020-3321
ALT-PU-2020-3456
ALT-PU-2020-3457
ALT-PU-2020-3458
ALT-PU-2020-3459
ALT-PU-2020-3460
ALT-PU-2021-1901
ALT-PU-2021-1903
ALT-PU-2021-1904
BDU:2020-05467
BIT-POSTGRESQL-2020-25694
CESA-2020_5401
CESA-2020_5567
CESA-2020_5619
CESA-2020_5620
CESA-2021_1512
CLEANSTART-2026-FW42039
CLEANSTART-2026-HJ04971
CVE-2020-25694
DLA-2478-1
ECHO-814D-438F-9A88
GHSA-VMM8-82M2-PCP5
MGASA-2020-0432
OPENSUSE-SU-2020:2018-1
OPENSUSE-SU-2020:2019-1
OPENSUSE-SU-2020:2028-1
OPENSUSE-SU-2020:2029-1
OPENSUSE-SU-2020_2018-1
OPENSUSE-SU-2020_2019-1
OPENSUSE-SU-2020_2028-1
OPENSUSE-SU-2020_2029-1
OPENSUSE-SU-2021:0337-1
OPENSUSE-SU-2021_0337-1
OPENSUSE-SU-2024:11184-1
OPENSUSE-SU-2024:11185-1
OPENSUSE-SU-2024:11186-1
OPENSUSE-SU-2024:11187-1
OPENSUSE-SU-2024:12387-1
OPENSUSE-SU-2024:13243-1
OPENSUSE-SU-2024:14360-1
OPENSUSE-SU-2025:15580-1
RHSA-2020:5316
RHSA-2020:5317
RHSA-2020:5401
RHSA-2020:5567
RHSA-2020:5619
RHSA-2020:5620
RHSA-2020:5638
RHSA-2020:5661
RHSA-2020:5664
RHSA-2020_5401
RHSA-2020_5567
RHSA-2020_5619
RHSA-2020_5620
RHSA-2021:0057
RHSA-2021:0161
RHSA-2021:0163
RHSA-2021:0164
RHSA-2021:0165
RHSA-2021:0166
RHSA-2021:0167
RHSA-2021:1512
RHSA-2021_1512
RLSA-2020:5620
SUSE-SU-2020:3425-1
SUSE-SU-2020:3455-1
SUSE-SU-2020:3463-1
SUSE-SU-2020:3464-1
SUSE-SU-2020:3476-1
SUSE-SU-2020:3477-1
SUSE-SU-2020:3630-1
SUSE-SU-2020_3425-1
SUSE-SU-2020_3455-1
SUSE-SU-2020_3463-1
SUSE-SU-2020_3464-1
SUSE-SU-2020_3476-1
SUSE-SU-2020_3477-1
SUSE-SU-2021:0175-1
SUSE-SU-2021:0217-1
SUSE-SU-2021_0175-1
SUSE-SU-2021_0217-1
USN-4633-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Postgresql
Red Hat
Rocky Linux
Suse
Ubuntu