Vulnerability Name:

CVE-2009-3231 (CCN-53142)

Assigned:2009-09-09
Published:2009-09-09
Updated:2018-10-10
Summary:The core server component in PostgreSQL 8.3 before 8.3.8 and 8.2 before 8.2.14, when using LDAP authentication with anonymous binds, allows remote attackers to bypass authentication via an empty password.
CVSS v3 Severity:5.3 Medium (CCN CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): None
Integrity (I): Low
Availibility (A): None
CVSS v2 Severity:6.8 Medium (CVSS v2 Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P)
5.0 Medium (Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:OF/RC:C)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Authentication (Au): None
Impact Metrics:Confidentiality (C): Partial
Integrity (I): Partial
Availibility (A): Partial
4.3 Medium (CCN CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N)
3.2 Low (CCN Temporal CVSS v2 Vector: AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Medium
Athentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): Partial
Availibility (A): None
Vulnerability Type:CWE-287
Vulnerability Consequences:Bypass Security
References:Source: MITRE
Type: CNA
CVE-2009-3231

Source: CCN
Type: HP Security Bulletin HPSBMU02781 SSRT100617
HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows running PostgreSQL, Remote Execution of Arbitrary Code, Denial of Service (DoS)

Source: SUSE
Type: UNKNOWN
SUSE-SR:2009:016

Source: SUSE
Type: UNKNOWN
SUSE-SR:2009:017

Source: HP
Type: UNKNOWN
HPSBMU02781

Source: CCN
Type: RHSA-2009-1461
Important: Red Hat Application Stack v2.4 security and enhancement update

Source: CCN
Type: SA36660
PostgreSQL Multiple Vulnerabilities

Source: SECUNIA
Type: Vendor Advisory
36660

Source: SECUNIA
Type: Vendor Advisory
36727

Source: SECUNIA
Type: UNKNOWN
36800

Source: SECUNIA
Type: UNKNOWN
36837

Source: CCN
Type: SA37663
PostgreSQL SSL Certificate Processing and Privilege Escalation Vulnerabilities

Source: CCN
Type: SA49719
HP Network Node Manager i Multiple Vulnerabilities

Source: CCN
Type: SA49747
HP Network Node Manager i Multiple Vulnerabilities

Source: CONFIRM
Type: UNKNOWN
http://wiki.rpath.com/wiki/Advisories:rPSA-2010-0012

Source: DEBIAN
Type: DSA-1900
postgresql-8.4 -- several vulnerabilities

Source: CONFIRM
Type: UNKNOWN
http://www.postgresql.org/docs/8.3/static/release-8-3-8.html

Source: CCN
Type: PostgreSQL Web Site
Security Information

Source: CONFIRM
Type: Vendor Advisory
http://www.postgresql.org/support/security.html

Source: BUGTRAQ
Type: UNKNOWN
20100307 rPSA-2010-0012-1 postgresql postgresql-contrib postgresql-server

Source: BID
Type: UNKNOWN
36314

Source: CCN
Type: BID-36314
PostgreSQL Multiple Security Vulnerabilities

Source: CCN
Type: BID-37333
PostgreSQL Index Function Session State Modification Local Privilege Escalation Vulnerability

Source: CCN
Type: BID-37334
PostgreSQL NULL Character CA SSL Certificate Validation Security Bypass Vulnerability

Source: CCN
Type: TLSA-2009-29
Three vulnerabilities discovered in postgresql

Source: CCN
Type: USN-834-1
PostgreSQL vulnerabilities

Source: UBUNTU
Type: UNKNOWN
USN-834-1

Source: DEBIAN
Type: UNKNOWN
DSA-1900

Source: CONFIRM
Type: UNKNOWN
https://bugzilla.redhat.com/show_bug.cgi?id=522084

Source: XF
Type: UNKNOWN
postgresql-ldap-security-bypass(53142)

Source: FEDORA
Type: UNKNOWN
FEDORA-2009-9473

Source: FEDORA
Type: UNKNOWN
FEDORA-2009-9474

Source: SUSE
Type: SUSE-SR:2009:016
SUSE Security Summary Report

Source: SUSE
Type: SUSE-SR:2009:017
SUSE Security Summary Report

Vulnerable Configuration:Configuration 1:
  • cpe:/a:postgresql:postgresql:8.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.5:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.6:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.7:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.8:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.9:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.10:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.11:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.12:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.13:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.5:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.6:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.7:*:*:*:*:*:*:*

  • Configuration CCN 1:
  • cpe:/a:postgresql:postgresql:8.0:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.0:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.5:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.0:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.6:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.11:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.10:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.7:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.12:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.8:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.14:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.13:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.1:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.6:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.5:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.10:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.9:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.16:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.15:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.17:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.11:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.13:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.317:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.7:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.8:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.9:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.2:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.18:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.0.14:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.1.10:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.2.5:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3.6:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.3:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:8.4:*:*:*:*:*:*:*
  • OR cpe:/a:postgresql:postgresql:7.4.19:*:*:*:*:*:*:*
  • AND
  • cpe:/o:canonical:ubuntu:6.06::lts:*:*:*:*:*
  • OR cpe:/o:mandrakesoft:mandrake_linux_corporate_server:4.0::x86_64:*:*:*:*:*
  • OR cpe:/o:turbolinux:turbolinux:fuji:*:*:*:*:*:*:*
  • OR cpe:/o:debian:debian_linux:4.0:*:*:*:*:*:*:*
  • OR cpe:/o:mandrakesoft:mandrake_linux:2008.1:x86_64:*:*:*:*:*:*
  • OR cpe:/a:redhat:rhel_application_stack:2:*:*:*:*:*:*:*
  • OR cpe:/o:mandrakesoft:mandrake_linux:2008.1:*:*:*:*:*:*:*
  • OR cpe:/o:canonical:ubuntu:8.04::lts:*:*:*:*:*
  • OR cpe:/o:mandriva:linux:2009.0:*:*:*:*:*:*:*
  • OR cpe:/o:mandriva:linux:2009.0:-:x86_64:*:*:*:*:*
  • OR cpe:/o:debian:debian_linux:5.0:*:*:*:*:*:*:*
  • OR cpe:/o:mandriva:linux:2009.1:*:*:*:*:*:*:*
  • OR cpe:/o:mandriva:linux:2009.1:*:*:*:x86_64:*:*:*
  • OR cpe:/o:mandriva:enterprise_server:5:*:*:*:*:*:*:*
  • OR cpe:/o:mandriva:enterprise_server:5:*:*:*:x86_64:*:*:*
  • OR cpe:/a:hp:network_node_manager_i:9.0:*:*:*:*:*:*:*
  • OR cpe:/a:hp:network_node_manager_i:8.0:*:*:*:*:*:*:*

  • * Denotes that component is vulnerable
    Oval Definitions
    Definition IDClassTitleLast Modified
    oval:org.opensuse.security:def:20093231
    V
    CVE-2009-3231
    2022-05-20
    oval:org.mitre.oval:def:7828
    P
    DSA-1900 postgresql-7.4, postgresql-8.1, postgresql-8.3, postgresql-8.4 -- several vulnerabilities
    2015-02-23
    oval:org.mitre.oval:def:13708
    P
    DSA-1900-1 postgresql-7.4, postgresql-8.1, postgresql-8.3, postgresql-8.4 -- several
    2015-02-23
    oval:org.mitre.oval:def:13647
    P
    USN-834-1 -- postgresql-8.1, postgresql-8.3 vulnerabilities
    2014-06-30
    oval:org.debian:def:1900
    V
    several vulnerabilities
    2009-10-02
    BACK
    postgresql postgresql 8.2
    postgresql postgresql 8.2.1
    postgresql postgresql 8.2.2
    postgresql postgresql 8.2.3
    postgresql postgresql 8.2.4
    postgresql postgresql 8.2.5
    postgresql postgresql 8.2.6
    postgresql postgresql 8.2.7
    postgresql postgresql 8.2.8
    postgresql postgresql 8.2.9
    postgresql postgresql 8.2.10
    postgresql postgresql 8.2.11
    postgresql postgresql 8.2.12
    postgresql postgresql 8.2.13
    postgresql postgresql 8.3
    postgresql postgresql 8.3.1
    postgresql postgresql 8.3.2
    postgresql postgresql 8.3.3
    postgresql postgresql 8.3.4
    postgresql postgresql 8.3.5
    postgresql postgresql 8.3.6
    postgresql postgresql 8.3.7
    postgresql postgresql 8.0
    postgresql postgresql 8.1
    postgresql postgresql 8.2
    postgresql postgresql 7.4
    postgresql postgresql 7.4.1
    postgresql postgresql 7.4.2
    postgresql postgresql 8.0.0
    postgresql postgresql 8.0.1
    postgresql postgresql 8.0.2
    postgresql postgresql 8.0.5
    postgresql postgresql 8.0.4
    postgresql postgresql 8.0.3
    postgresql postgresql 8.1.1
    postgresql postgresql 8.1.0
    postgresql postgresql 8.1.2
    postgresql postgresql 8.0.6
    postgresql postgresql 7.4.11
    postgresql postgresql 7.4.10
    postgresql postgresql 8.1.3
    postgresql postgresql 8.0.7
    postgresql postgresql 7.4.12
    postgresql postgresql 8.1.4
    postgresql postgresql 8.0.8
    postgresql postgresql 7.4.14
    postgresql postgresql 7.4.13
    postgresql postgresql 8.2.1
    postgresql postgresql 8.1.6
    postgresql postgresql 8.1.5
    postgresql postgresql 8.0.10
    postgresql postgresql 8.0.9
    postgresql postgresql 7.4.16
    postgresql postgresql 7.4.15
    postgresql postgresql 7.4.17
    postgresql postgresql 8.0.11
    postgresql postgresql 8.0.13
    postgresql postgresql 8.0.317
    postgresql postgresql 8.1.7
    postgresql postgresql 8.1.8
    postgresql postgresql 8.1.9
    postgresql postgresql 8.2.2
    postgresql postgresql 8.2.3
    postgresql postgresql 8.2.4
    postgresql postgresql 7.4.18
    postgresql postgresql 8.0.14
    postgresql postgresql 8.1.10
    postgresql postgresql 8.2.5
    postgresql postgresql 8.3.6
    postgresql postgresql 8.3
    postgresql postgresql 8.4
    postgresql postgresql 7.4.19
    canonical ubuntu 6.06
    mandrakesoft mandrake linux corporate server 4.0
    turbolinux turbolinux fuji
    debian debian linux 4.0
    mandrakesoft mandrake linux 2008.1 x86_64
    redhat rhel application stack 2
    mandrakesoft mandrake linux 2008.1
    canonical ubuntu 8.04
    mandriva linux 2009.0
    mandriva linux 2009.0 -
    debian debian linux 5.0
    mandriva linux 2009.1
    mandriva linux 2009.1
    mandriva enterprise server 5
    mandriva enterprise server 5
    hp network node manager i 9.0
    hp network node manager i 8.0