Debians sikkerhedsbulletin
DSA-2534-1 postgresql-8.4 -- flere sårbarheder
- Rapporteret den:
- 25. aug 2012
- Berørte pakker:
- postgresql-8.4
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2012-3488, CVE-2012-3489.
- Yderligere oplysninger:
-
To sårbarheder relateret til XML-behandling, blev opdaget i PostgreSQL, en SQL-database.
- CVE-2012-3488
contrib/xml2's xslt_process() kunne anvendes til at læse og skrive eksterne filer og URL'er.
- CVE-2012-3489
xml_parse() hentede eksterne filer eller URL'er, for at resolve DTD- og entitetsreferencer i XML-værdier.
Opdateringen fjerner den problematiske funktionalitet, hvilket potentielt kan medføre at applikationer, som anvender det legitimt, kan holde op med at virke.
På grund af sårbarhedernes natur, er det muligt at angribere, som har indirekte adgang til databasen, kan levere fabrikerede XML-data, som udnytter sårbarheder.
I den stabile distribution (squeeze), er disse problemer rettet i version 8.4.13-0squeeze1.
I den ustabile distribution (sid), er disse problemer rettet i version 9.1.5-1 af pakken postgresql-9.1.
Vi anbefaler at du opgraderer dine postgresql-8.4-pakker.
- CVE-2012-3488