Debians sikkerhedsbulletin

DSA-3374-1 postgresql-9.4 -- sikkerhedsopdatering

Rapporteret den:
19. okt 2015
Berørte pakker:
postgresql-9.4
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-5288, CVE-2015-5289.
Yderligere oplysninger:

Flere sårbarheder er fundet i PostgreSQL-9.4, et SQL-databasesystem.

  • CVE-2015-5288

    Josh Kupershmidt opdagede en sårbarhed i funktionen crypt() i udvidelsen pgCrypto. Visse ugyldige salt-parametre kunne medføre at serveren gik ned eller at der blev afsløret nogle få bytes fra serverhukommelsen.

  • CVE-2015-5289

    Oskari Saarenmaa opdagede at json- eller jsonb-inddataværdier konstrueret fra vilkårlige brugerinddata, kunne få PostgreSQL-serveren til at gå ned og dermed forårsage et lammelsesangreb (denial of service).

I den stabile distribution (jessie), er disse problemer rettet i version 9.4.5-0+deb8u1.

I distributionen testing (stretch), er disse problemer rettet i version 9.4.5-1.

I den ustabile distribution (sid), er disse problemer rettet i version 9.4.5-1.

Vi anbefaler at du opgraderer dine postgresql-9.4-pakker.