Информация по безопасности / 2012 / Информация о безопасности -- DSA-2418-1 postgresql-8.4

Рекомендация Debian по безопасности

DSA-2418-1 postgresql-8.4 -- несколько уязвимостей

Дата сообщения:

27.02.2012

Затронутые пакеты:

postgresql-8.4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-0866, CVE-2012-0867, CVE-2012-0868.

Более подробная информация:

В PostgreSQL, объектно-реляционной базе данных SQL, было обнаружено несколько локальных уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2012-0866

  Было обнаружено, что права функции, вызванной запускающим событием, не проверяются. Это может приводить к повышению привилегий.

• CVE-2012-0867

  Было обнаружено, что при проверке имён узлов посредством SSL-сертификатов проверяются только первые 32 символа. В ограниченных ситуациях это может приводить к подделке подключения.

• CVE-2012-0868

  Было обнаружено, что pg_dump не выполняет очистку имён объектов. Это может приводить к выполнению произвольных SQL-команд в случае открытия специально сформированного файла дампа.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 8.4.11-0squeeze1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 8.4.11-1.

Рекомендуется обновить пакеты postgresql-8.4.