Bulletin d'alerte Debian

DLA-227-1 postgresql-8.4 -- Mise à jour de sécurité pour LTS

Date du rapport :
29 mai 2015
Paquets concernés :
postgresql-8.4
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2015-3165, CVE-2015-3166, CVE-2015-3167.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans PostgreSQL, un système de serveur de base de données relationnelle. Pour l'amont, la branche 8.4 a atteint sa fin de vie, mais elle est encore présente dans Debian Squeeze. Cette nouvelle version mineure LTS fournit les correctifs appliqués par l'amont à la version 9.0.20, rétroportés vers 8.4.22 qui était la dernière version officielle publiée par les développeurs de PostgreSQL. Cette initiative de LTS pour Squeeze-lts est un projet de la communauté parrainé par credativ GmbH.

  • CVE-2015-3165

    Plantage distant :

    La déconnexion de clients SSL juste avant l'expiration du délai d'authentification peut causer le plantage du serveur.

  • CVE-2015-3166

    Fuite d'informations :

    L'implémentation de remplacement de snprintf() ne vérifie pas correctement les erreurs signalées par les appels de la bibliothèque système sous-jacente ; les cas les plus courants, qui peuvent passer inaperçus, sont des situations de saturation de mémoire. Dans le pire des cas, cela peut mener à une fuite d'informations.

  • CVE-2015-3167

    Possible divulgation de clé par canal auxiliaire :

    Dans contrib/pgcrypto, certains cas de déchiffrement avec une clé incorrecte pourraient rapporter d'autres textes de message d'erreur. Correction par l'utilisation d'un message uniforme.

    Notez que le prochain cycle de révisions pour PostgreSQL a déjà été programmé pour le début du mois de juin 2015. Cela correspondra à une mise à jour de 8.4.22lts3 en même temps.