PT-2024-8141 · Postgresql+7 · Postgresql+7

Jacob Champion

·

Publicado

2024-11-14

·

Atualizado

2026-04-03

·

CVE-2024-10977

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas:
Versões do PostgreSQL anteriores à 17.1
Versões do PostgreSQL anteriores à 16.5
Versões do PostgreSQL anteriores à 15.9
Versões do PostgreSQL anteriores à 14.14
Versões do PostgreSQL anteriores à 13.17
Versões do PostgreSQL anteriores à 12.21
Descrição:
O problema está relacionado ao uso, pelo cliente, de mensagens de erro do servidor no PostgreSQL, permitindo que um servidor não confiável forneça bytes arbitrários não nulos ao aplicativo libpq sob as configurações atuais de SSL ou GSS. Isso poderia permitir que um invasor do tipo “man-in-the-middle” enviasse uma longa mensagem de erro que poderia ser confundida com resultados válidos de consulta por um usuário humano ou por um usuário de screen-scraper do psql. No entanto, isso provavelmente não é uma preocupação para clientes em que a interface do usuário indica claramente a fronteira entre uma mensagem de erro e outro texto.
Recomendações:
Para versões anteriores à 17.1, atualize para o PostgreSQL 17.1 ou posterior.
Para versões anteriores à 16.5, atualize para o PostgreSQL 16.5 ou posterior.
Para versões anteriores à 15.9, atualize para o PostgreSQL 15.9 ou posterior.
Para versões anteriores à 14.14, atualize para o PostgreSQL 14.14 ou posterior.
Para versões anteriores à 13.17, atualize para o PostgreSQL 13.17 ou posterior.
Para versões anteriores à 12.21, atualize para o PostgreSQL 12.21 ou posterior.

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345CWE-348CWE-264

Identificadores relacionados

ALT-PU-2024-15897
ALT-PU-2024-15899
ALT-PU-2024-15900
ALT-PU-2024-15901
ALT-PU-2024-15902
ALT-PU-2024-15905
ALT-PU-2024-15907
ALT-PU-2024-16008
ALT-PU-2024-16010
ALT-PU-2024-16011
ALT-PU-2024-16012
ALT-PU-2024-16013
ALT-PU-2024-16159
ALT-PU-2024-16161
ALT-PU-2024-16162
ALT-PU-2024-16163
ALT-PU-2024-16164
ALT-PU-2024-16165
ALT-PU-2024-16336
ALT-PU-2024-16338
ALT-PU-2024-17039
ALT-PU-2024-17041
ALT-PU-2024-17042
ALT-PU-2024-17043
ALT-PU-2024-17044
AZL-53195
AZL-53206
BDU:2024-09682
BIT-POSTGRESQL-2024-10977
CLEANSTART-2026-KA40024
CLEANSTART-2026-ZC18474
CVE-2024-10977
DLA-3954-1
DSA-5812-1
DSA-5812-2
ECHO-84D0-1DCB-0C06
JLSEC-2026-48
MGASA-2024-0372
OESA-2024-2427
OESA-2024-2428
OESA-2024-2429
OESA-2024-2430
OESA-2024-2466
OESA-2024-2467
OESA-2024-2468
OESA-2024-2469
OESA-2025-1335
OPENSUSE-SU-2024:14501-1
OPENSUSE-SU-2024:14502-1
OPENSUSE-SU-2024:14503-1
OPENSUSE-SU-2024:14504-1
OPENSUSE-SU-2024:14505-1
OPENSUSE-SU-2024:14506-1
OPENSUSE-SU-2024_4063-1
OPENSUSE-SU-2024_4098-1
OPENSUSE-SU-2024_4099-1
OPENSUSE-SU-2024_4118-1
OPENSUSE-SU-2024_4173-1
OPENSUSE-SU-2024_4174-1
OPENSUSE-SU-2024_4175-1
OPENSUSE-SU-2024_4176-1
SUSE-SU-2024:4052-1
SUSE-SU-2024:4063-1
SUSE-SU-2024:4095-1
SUSE-SU-2024:4096-1
SUSE-SU-2024:4097-1
SUSE-SU-2024:4098-1
SUSE-SU-2024:4099-1
SUSE-SU-2024:4114-1
SUSE-SU-2024:4118-1
SUSE-SU-2024:4173-1
SUSE-SU-2024:4174-1
SUSE-SU-2024:4175-1
SUSE-SU-2024:4176-1
SUSE-SU-2025:01799-1
SUSE-SU-2025_01799-1
USN-7132-1
USN-7358-1

Produtos afetados

Alt Linux
Astra Linux
Linuxmint
Postgresql
Red Os
Suse
Ubuntu
Zvirt Node