Säkerhetsbulletin från Debian

DSA-3374-1 postgresql-9.4 -- säkerhetsuppdatering

Rapporterat den:
2015-10-19
Berörda paket:
postgresql-9.4
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-5288, CVE-2015-5289.
Ytterligare information:

Flera sårbarheter har upptäckts i PostgreSQL-9.4, ett SQL-databassystem.

  • CVE-2015-5288

    Josh Kupershmidt upptäckte en sårbarhet i funktionen crypt() i utökningen pgCrypto. Vissa ogiltiga saltargument kan orsaka servern att krascha eller avslöja några bytes av serverminne.

  • CVE-2015-5289

    Oskari Saarenmaa upptäckte att indatavärden i json eller jsonb som skapats från godtycklig användarindata kan krascha PostgreSQL-servern och orsaka en överbelastning.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 9.4.5-0+deb8u1.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 9.4.5-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 9.4.5-1.

Vi rekommenderar att ni uppgraderar era postgresql-9.4-paket.