Информация по безопасности / 2012 / Информация о безопасности -- DSA-2534-1 postgresql-8.4

Рекомендация Debian по безопасности

DSA-2534-1 postgresql-8.4 -- несколько уязвимостей

Дата сообщения:

25.08.2012

Затронутые пакеты:

postgresql-8.4

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2012-3488, CVE-2012-3489.

Более подробная информация:

В PostgreSQL, базе данных SQL, были обнаружены две уязвимости, связанные с обработкой XML.

• CVE-2012-3488

  Функция xslt_process() в contrib/xml2 может использоваться для чтения и записи внешних файлов и URL.

• CVE-2012-3489

  Функция xml_parse() загружает внешние файлы или URL для разрешения DTD и ссылок на сущности в значениях XML.

Данное обновление удаляет проблемную функциональность, что потенциально приводит к поломке приложений, использующих её допустимым образом.

В связи с природой этих уязвимостей возможно, что злоумышленники, имеющие непрямой доступ к базе данных, могут передать специально сформированные данные в формате XML, с целью использования этих уязвимостей.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 8.4.13-0squeeze1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 9.1.5-1 пакета postgresql-9.1.

Рекомендуется обновить пакеты postgresql-8.4.