Bulletin d'alerte Debian

DLA-152-1 postgresql-8.4 -- Mise à jour de sécurité pour LTS

Date du rapport :
12 février 2015
Paquets concernés :
postgresql-8.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-8161, CVE-2015-0241, CVE-2015-0243, CVE-2015-0244.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PostgreSQL, un système de base de données SQL. Pour l'amont, la branche 8.4 a atteint sa fin de vie, mais elle est encore présente dans Debian Squeeze. Cette nouvelle version mineure LTS fournit les correctifs appliqués par l'amont à la version 9.0.19, rétroportés vers 8.4.22 qui était la dernière version officielle publiée par les développeurs de PostgreSQL. Cette initiative de LTS pour squeeze-lts est un projet de la communauté parrainé par credativ GmbH.

  • CVE-2014-8161 : fuite d'informations

    Un utilisateur avec des autorisations limitées sur une table pourrait avoir accès à des informations dans des colonnes sur lesquelles il ne possède pas de droit SELECT grâce à des messages d'erreur du serveur.

  • CVE-2015-0241 : lecture/écriture hors limites

    La fonction to_char() pourrait écrire et lire au-delà de la fin d'un tampon. Cela pourrait planter le serveur lorsque qu'un modèle de formatage est appliqué.

  • CVE-2015-0243 : débordements de tampon dans contrib/pgcrypto

    Le module pgcrypto est vulnérable à des débordements de tampon de pile qui pourraient planter le serveur.

  • CVE-2015-0244 : injection de commandes SQL

    Emil Lenngren a signalé qu'un attaquant peut injecter des commandes SQL quand la synchronisation entre le client et le serveur est perdue.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 8.4.22lts1-0+deb6u1 de postgresql-8.4