Debians sikkerhedsbulletin

DSA-3269-1 postgresql-9.1 -- sikkerhedsopdatering

Rapporteret den:
22. maj 2015
Berørte pakker:
postgresql-9.1
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-3165, CVE-2015-3166, CVE-2015-3167.
Yderligere oplysninger:

Flere sårbarheder er fundet i PostgreSQL-9.1, et SQL-databasesystem.

  • CVE-2015-3165 (Fjernnedbrud)

    SSL-klienter, som afbryder forbindelsen lige før autentifikationstimeouten udløber, kunne få serveren til at gå ned.

  • CVE-2015-3166 (Informationsblotlæggelse)

    Erstatningsimplementeringen af snprintf() fik ikke kontrolleret for fejl rapporteret af de underliggende kald til systembiblioteker; primært er det ikke mere hukommelse-situationer, der kunne blive overset. I værste fald kunne det føre til informationsblotlæggelse.

  • CVE-2015-3167 (Mulig blotlæggelse af sidekanal-nøgle)

    I contrib/pgcrypto kunne nogle tilfælde af dekryptering med en forkert nøgle føre til andre fejlmeddelelsestekster. Rettet ved at anvende en en størrelse passer alle-meddelelse.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 9.1.16-0+deb7u1.

I den stabile distribution (jessie), er disse problemer rettet i version 9.1.16-0+deb8u1. (Jessie indeholder en begrænset postgresql-9.1-pakke; kun CVE-2015-3166 er rettet i den fremstillede binære pakke, postgresql-plperl-9.1. Vi anbefaler at opgradere til postgresql-9.4 for at få alle rettelserne. Se udgivelsesbemærkningerne til Jessie for flere oplysninger.)

Distributionen testing (stretch) og den ustabile distribution (sid) indeholder ikke pakken postgresql-9.1.

Vi anbefaler at du opgraderer dine postgresql-9.1-pakker.