Рекомендация Debian по безопасности

DLA-0019-1 postgresql-8.4 -- обновление безопасности LTS

Дата сообщения:
29.07.2014
Затронутые пакеты:
postgresql-8.4
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-0067.
Более подробная информация:

Новый младший выпуск основной ветки разработки. Пользователям следует выполнить обновление до этой версии в ходе запланированных операций по сопровождению систем.

Заслуживают внимания следующие изменения:

Безопасные сокеты доменов Unix для временных postmaster-серверов, запущенных во время make check (Ноа Миш)

Любой локальный пользователь, имеющий доступ к файлу сокета, может подключиться как суперпользователь начальной загрузки сервера, затем перейти к выполнению произвольного кода как пользователь операционной системы, запускающий тест, что уже было ранее указано в CVE-2014-0067. Данное изменение защищает от этих рисков, серверны сокет помещается во временный подкаталог /tmp с режимом доступа 0700.

8.4.22 является последним выпуском PostgreSQL ветки 8.4. Глобальная группа разработки PostgreSQL более не будет выпускать новые версии этой ветки.

Пользователям PostgreSQL 8.4 следует рассмотреть возможность обновления до более новых выпусков PostgreSQL. Имеются следующие возможности:

  • Обновление до Debian 7 (Wheezy) и, соответственно, до postgresql-9.1.
  • Использование репозитория apt.postgresql.org, в котором имеются пакеты для все активных веток PostgreSQL (от 9.0 до 9.4 в момент написания данной рекомендации).

    Для получения дополнительной информации об этом репозитории смотрите https://wiki.postgresql.org/wiki/Apt.

    Вспомогательный сценарий для включения этого репозитория находится в /usr/share/doc/postgresql-8.4/examples/apt.postgresql.org.sh.

  • Планируется, что версия LTS ветки 8.4 будет поддерживаться в течение всего жизненного цикла squeeze-lts. Вероятнее всего обновления будут выходить по принципу лучшее из возможного. Пользователи могут использовать эти обновления, но всё равно следует подумать над переходом на более новую версию PostgreSQL в течение следующих нескольких месяцев.

В Debian 6 Squeeze эти проблемы были исправлены в пакете postgresql-8.4 версии 8.4.22-0+deb6u1