Säkerhetsbulletin från Debian

DSA-2418-1 postgresql-8.4 -- flera sårbarheter

Rapporterat den:
2012-02-27
Berörda paket:
postgresql-8.4
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-0866, CVE-2012-0867, CVE-2012-0868.
Ytterligare information:

Flera lokala sårbarheter har upptäckts i PostgreSQL, en objektrelations SQL-databas. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2012-0866

    Man har upptäckt att rättigheterna för en funktion som anropas av en trigger inte kontrolleras. Detta kunde leda till utökning av privilegier.

  • CVE-2012-0867

    Man har upptäckt att endast de första 32 tecknen i ett hostnamn kontrolleras när man validerar hostnamn genom SSL-certifikat. Detta kunde leda till förfalskning av anslutningen i begränsade fall.

  • CVE-2012-0868

    Man har upptäckt att pg_dump inte rengör objektnamn. Detta kunde resultera i körning av godtyckliga SQL-kommandon om en felaktigt formaterad dumpfil öppnas.

För den stabila utgåvan (Squeeze) har detta problem rättats i version 8.4.11-0squeeze1.

För den instabila utgåvan (Sid) har detta problem rättats i version 8.4.11-1.

Vi rekommenderar att ni uppgraderar era postgresql-8.4-paket.