Рекомендация Debian по безопасности

DLA-152-1 postgresql-8.4 -- обновление безопасности LTS

Дата сообщения:
12.02.2015
Затронутые пакеты:
postgresql-8.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-8161, CVE-2015-0241, CVE-2015-0243, CVE-2015-0244.
Более подробная информация:

В PostgreSQL, серверной системе реляционных баз данных, было обнаружено несколько уязвимостей. Поддержка ветки 8.4 в основной ветке разработки прекращена, но она всё ещё имеется в Debian squeeze. Эта новая младшая версия LTS содержит исправления, которые были применены в основной ветке разработки к версии 9.0.19, они были адаптированы к версии 8.4.22, которая является последней версией, официально выпущенной разработчиками PostgreSQL. Поддержка в squeeze-lts является проектом сообщества, который спонсируется credativ GmbH.

  • CVE-2014-8161:

    Утечка информации. Пользователь, имеющий ограниченный допуск к таблице, может получить доступ к информации в столбцах, не имея для них прав SELECT, используя серверные сообщения об ошибках.

  • CVE-2015-0241:

    Чтение/запись за пределами буфера. Функция to_char() может выполнять чтение/запись за границами буфера. Это может приводить к аварийной остановке сервера при обработке форматирования шаблона.

  • CVE-2015-0243:

    Переполнения буфера в contrib/pgcrypto. Модуль pgcrypto уязвим к переполнению буфера, которое может приводить к аварийной остановке сервера.

  • CVE-2015-0244:

    Инъекция команд SQL. Эмиль Леннгрен сообщил, что злоумышленник может вводить команды SQL в случае, когда теряется синхронизация между клиентом и сервером.

В Debian 6 Squeeze эти проблемы были исправлены в postgresql-8.4 версии 8.4.22lts1-0+deb6u1