Рекомендация Debian по безопасности

DSA-3374-1 postgresql-9.4 -- обновление безопасности

Дата сообщения:
19.10.2015
Затронутые пакеты:
postgresql-9.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2015-5288, CVE-2015-5289.
Более подробная информация:

В PostgreSQL-9.4, системе баз данных SQL, было обнаружено несколько уязвимостей.

  • CVE-2015-5288

    Джош Капершмидт обнаружил уязвимость в функции crypt() из расширения pgCrypto. Некоторые некорректные аргументы, представляющие собой соль, могут вызвать аварийное завершение работы сервера или приводить к раскрытию нескольких байт серверной памяти.

  • CVE-2015-5289

    Оскари Сааренмаа обнаружил, что входные значения json или jsonb, создаваемые на основе ввода произвольного пользователя, могут приводить к аварийному завершению работы сервера PostgreSQL и вызывать отказ в обслуживании.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 9.4.5-0+deb8u1.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 9.4.5-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 9.4.5-1.

Рекомендуется обновить пакеты postgresql-9.4.