Рекомендация Debian по безопасности

DLA-227-1 postgresql-8.4 -- обновление безопасности LTS

Дата сообщения:
29.05.2015
Затронутые пакеты:
postgresql-8.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-3165, CVE-2015-3166, CVE-2015-3167.
Более подробная информация:

В PostgreSQL, серверной системе реляционных баз данных, было обнаружено несколько уязвимостей. Поддержка ветки 8.4 в основной ветке разработки была прекращена, но эта версия всё ещё присутствует в Debian squeeze. Данная новая младшая версия LTS содержит исправления, который были применены в основной ветке к версии 9.0.20 и адаптированы для 8.4.22, которая была последней версией, официально выпущенной разработчиками PostgreSQL. Данная работа для squeeze-lts является проектом сообщества и спонсируется credativ GmbH.

  • CVE-2015-3165:

    Удалённая аварийная остановка. Клиенты SSL, отключающиеся до завершения периода аутентификации, могут вызывать аварийную остановку сервера.

  • CVE-2015-3166:

    Раскрытие информации. Замена реализации snprintf() не выполняет проверку на ошибки, о которых сообщают вызовы низлежащей системной библиотеки; в основном могут быть пропущены ситуации с доступом за пределы выделенного буфера памяти. В худших случаях это может приводить к раскрытию информации.

  • CVE-2015-3167:

    Возможное раскрытие ключа через сторонний канал. В contrib/pgcrypto в некоторых случаях расшифровка с неправильным ключом может приводить к выводу какого-то другого сообщения об ошибке. Исправлено с помощью сообщения one-size-fits-all.

    Заметьте, что следующий этап выпуска младших версий PostgreSQL уже запланирован на начало июня 2015 года. В то же время будет выпущено обновление 8.4.22lts3.