Debians sikkerhedsbulletin

DSA-2864-1 postgresql-8.4 -- flere sårbarheder

Rapporteret den:
20. feb 2014
Berørte pakker:
postgresql-8.4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-0060, CVE-2014-0061, CVE-2014-0062, CVE-2014-0063, CVE-2014-0064, CVE-2014-0065, CVE-2014-0066, CVE-2014-0067.
Yderligere oplysninger:

Forskellige sårbarheder blev opdaget i PostgreSQL:

  • CVE-2014-0060 Shore up GRANT ... WITH ADMIN OPTION-begrænsinger (Noah Misch)

    At grant'e en rolle uden ADMIN OPTION har til formål at forhindre grant'eren i at tilføje eller fjerne medlemmer fra den grantede rolle, men begrænsningen kunne let omgås ved først at foretage en SET ROLE. Sikkerhedspåvirkningen gælder primært det faktum, at et rollemedlem kunne tilbagetrække andres adgang, imodsætning til grant'erens ønsker. Uautoriseret tilføjelse af rollemedlemmer er en mindre bekymring, da et ikke-samarbejdende rollemedlem allerede kunne tildele de fleste af sine rettigheder ved at oprette views eller SECURITY DEFINER-funktioner.

  • CVE-2014-0061 Forhindrer rettighedsforøgelse vha. manuelle kald til PL-valideringsfunktioner (Andres Freund)

    PL-valideringsfunktionernes primære rolle er at blive kaldt implicit under CREATE FUNCTION, men de er også almindelige SQL-funktioner, som en bruger kan kalde eksplicit. Der blev ikke kontrollet for kald til en valideringsfunktion faktisk skrevet i et andet sprog, og kunne dermed udnyttes til rettighedsforøgelsesformål. Rettelsen involverer tilføjelse af et kald til en rettighedskontrolfunktion i hver valideringsfunktion. Ikke-grundlæggede procedurale sprog skal også foretage denne ændring af deres egne valideringsfunktioner, om nogen.

  • CVE-2014-0062 Undgår flere navneopslag under tabel- og indeks-DDL (Robert Haas, Andres Freund)

    Hvis navneopslagene drager forskellige konklussioner på grund af sideløbende aktivitet, udfører vi måske nogle dele af DDL'en på en anden tabel end de øvrige dele. I hvert fald i tilfælde af CREATE INDEX, kunne det udnyttes til at medføre rettighedskontroller mod en anden tabel, end indeksoprettelsen, hvilket muliggjorde et rettighedsforøgelsesangreb.

  • CVE-2014-0063 Forhindrer bufferoverløb med lange datetime-strenge (Noah Misch)

    Konstanten MAXDATELEN var for lille til den længst mulige værdi i typeintervallet, hvilket muliggjorde et bufferoverløb i interval_out(). Selv om datatime-inddatafunktioner mere omhyggeligt prøvede at forhindre bufferoverløb, var begrænsningen kort nok til at medføre at de afviste nogle gyldige inddata, så som inddata indeholdende et meget langt tidszonenavn. Biblioteket ecpg indeholdt disse tre sårbarheder, samt nogle af sine egne.

  • CVE-2014-0064 Forhindrer bufferoverløb på grund af heltalsoverløb i størrelsesberegninger (Noah Misch, Heikki Linnakangas)

    Flere funktioner, primært typeinddatafunktioner, begrengede en allokeringsstørrelse uden at kontrollere for overløb. Hvis et overløb opstod, blev en for lille buffer allokeret og skrevet ud over.

  • CVE-2014-0065 Forhindrer overløb af buffere med faste størrelser (Peter Eisentraut, Jozef Mlich)

    Brug strlcpy() og beslægtede funktioner til at levere en klar garanti for at buffere med faste størrelser ikke overløbes. I modsætning til de foregående punkter, er det uklart hvorvidt der her er tale om aktuelle problemstillinger, da de i de fleste tilfælde lader til at være tidligere begrænsninger på inddatastrenges størrelser. Ikke desto mindre forekommer det fornuftigt at få alle denne types Coverity-advarsler til at forstumme.

  • CVE-2014-0066 Undgår nedbrud hvis crypt() returnerer NULL (Honza Horak, Bruce Momjian)

    Der er relativt få situationer hvor crypt() kan returnere NULL, men contrib/chkpass gik ned i disse tilfælde. Et tilfælde, hvor det i praksis kunne være et problem, er hvis libc er opsat til at nægte at udføre ikke-godkendte hashing-algoritmer (fx FIPS mode).

  • CVE-2014-0067 Dokumenterer risici ved make-check i regressionstestvejledningen (Noah Misch, Tom Lane)

    De den midlertidige server, der startes af make-check, anvender trust-autentifikation, kunne en anden bruger på denne samme maskine forbinde sig med den som databasesuperbruger, og dermed potentielt udnytte rettighederne hørende til styresystemsbrugeren, som iværksatte testene. I en fremtidig udgivelse vil der formentlig blive indført ændringer til testprocedurerne, for at forhindre denne risiko, men først er det nødvendigt med noget offentlig debat derom. Så i øjeblikket advares man mod at anvende make-check, når der på samme maskine er brugere, som man ikke har tillid til.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 8.4.20-0squeeze1.

I den ustabile distribution (sid), er disse problemer rettet i version 9.3.3-1 of the postgresql-9.3 package.

Vi anbefaler at du opgraderer dine postgresql-8.4-pakker.