Säkerhetsbulletin från Debian

DSA-3269-1 postgresql-9.1 -- säkerhetsuppdatering

Rapporterat den:
2015-05-22
Berörda paket:
postgresql-9.1
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3165, CVE-2015-3166, CVE-2015-3167.
Ytterligare information:

Flera sårbarheter have been found in PostgreSQL-9.1, a SQL database system.

  • CVE-2015-3165 (Fjärrkrasch)

    SSL-klienter som kopplar ifrån just innan autentiserings-timeouten går ut kan orsaka servern att krascha.

  • CVE-2015-3166 (Informationsläckage)

    Ersättningsimplementationen av snprintf() misslyckades att kolla efter fel som rapporterades av systemanrop till det underliggande biblioteket; huvuddelen av fall då detta misslyckas är situationer när minnet tar slut. I värsta fall kan detta leda till avslöjande av information.

  • CVE-2015-3167 (Möjligt avslöjande av sidokanalsnyckel)

    I contrib/pgcrypto, kunde vissa fall av dekryptering med en felaktig nyckel rapportera andra felmeddelandetexter. Rättas genom att använda ett meddlende som passar alla fall.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 9.1.16-0+deb7u1.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 9.1.16-0+deb8u1. (Jessie contains a reduced postgresql-9.1 package; only CVE-2015-3166 is fixed in the produced binary package postgresql-plperl-9.1. We recommend to upgrade to postgresql-9.4 to get the full set of fixes. See the Jessie release notes for details.)

The testing distribution (Stretch) and the instabila utgåvan (Sid) do not contain the postgresql-9.1 package.

Vi rekommenderar att ni uppgraderar era postgresql-9.1-paket.