Debians sikkerhedsbulletin

DSA-3155-1 postgresql-9.1 -- sikkerhedsopdatering

Rapporteret den:
6. feb 2015
Berørte pakker:
postgresql-9.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-8161, CVE-2015-0241, CVE-2015-0243, CVE-2015-0244.
Yderligere oplysninger:

Flere sårbarheder er fundet i PostgreSQL-9.1, et SQL-databasesystem.

  • CVE-2014-8161: Informationslækage

    En bruger med begrænsede rettigheder til en tabel, kunne måske have adgang til oplysninger i kolonner uden SELECT-rettigheder gennem fejlmeddelelser fra serveren.

  • CVE-2015-0241: Læsning/skrivning uden for grænserne

    Funktionen to_char() kunne læse/skrive forbi slutningen af en buffer. Dermed kunne serveren måske gå ned, når en formatingsskabelon blev behandlet.

  • CVE-2015-0243: Bufferoverløb i contrib/pgcrypto

    Modulet ppgcrypto var sårbart over for stakbufferoverløb, der måske kunne få serveren til at gå ned.

  • CVE-2015-0244: SQL-kommandoindsprøjtning

    Emil Lenngren rapporterede, at en angriber kunne indsprøjte SQL-kommandoer, når synkroniseringen mellem klienten og serveren blev mistet.

I den stabile distribution (wheezy), er disse problemer rettet i version 9.1.15-0+deb7u1.

I den kommende stabile distribution (jessie), er disse problemer rettet i version 9.1.14-0+deb8u1.

I den ustabile distribution (sid), er disse problemer rettet i version 9.1.15-0+deb8u1.

Vi anbefaler at du opgraderer dine postgresql-9.1-pakker.