Sikkerhedsoplysninger / 2012 / Sikkerhedsoplysninger -- DSA-2418-1 postgresql-8.4

Debians sikkerhedsbulletin

DSA-2418-1 postgresql-8.4 -- flere sårbarheder

Rapporteret den:

27. feb 2012

Berørte pakker:

postgresql-8.4

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2012-0866, CVE-2012-0867, CVE-2012-0868.

Yderligere oplysninger:

Flere lokale sårbarheder er opdaget i PostgreSQL, en objekt-relations-SQL-database. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2012-0866

  Man opdagede, at rettighederne hørende til en funktion, der kaldes af en trigger, ikke kontrolleres. Det kunne medføre rettighedsforøgelse.

• CVE-2012-0867

  Man opdagede, at kun de første 32 tegn i et hostnavn blev kontrolleret, når man validerede hostnavne gennem SSL-certifikater. Det kunne medføre spooing af forbindelsen i nogle begrænsede situationer.

• CVE-2012-0868

  Man opdagede, at pg_dump ikke fornuftighedskontrollerede objektnavne. Det kunne medføre, at vilkårlige SQL-kommandoer blev udført, hvis en misdannet dumpfil blev åbnet.

I den stabile distribution (squeeze), er dette problem rettet i version 8.4.11-0squeeze1.

I den ustabile distribution (sid), er dette problem rettet i version 8.4.11-1.

Vi anbefaler at du opgraderer dine postgresql-8.4-pakker.